从 S3 存储桶同步到本地目录失败

Question

我想将整个存储桶下载到本地目录。我试过了：

aws s3 sync s3://my-bucket-name . --profile default

我遇到了身份验证错误：

下载失败：s3://my-bucket-name/thumbnail.jpg 到路径 local/thumbnail.jpg 调用 GetObject 操作：未知

我相信我的 IAM 配置正确，因为它可以完全访问 S3 存储桶。当我尝试另一个命令时它可以工作，例如：

aws s3 ls

我对 IAM 用户的内联策略是：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:*",
      "Resource": ["arn:aws:s3:::*"]
    }
  ]
}

我在这个设置中遗漏了什么吗？

Answer 1

如果您想通过 cli 和 Web 控制台访问并将存储桶限制为用户及其一些基本操作，您可以使用以下策略：

{
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:ListAllMyBuckets"
        ],
        "Resource": "arn:aws:s3:::*"
    },
    {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::YOURBUCKET"
        ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "s3:PutObject",
            "s3:GetObject",
            "s3:DeleteObject",
            "s3:ListObjects"
        ],
        "Resource": [
            "arn:aws:s3:::YOURBUCKET/*"
        ]
    }
]

}

Answer 2

政策有问题。将政策更改为以下内容。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

如果您希望用户只访问一个存储桶，请使用以下策略。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::name-of-bucket/*"
    }
  ]
}