如何从 us-east-1 帐户访问在 us-west-2 区域创建的 S3 存储桶？答案

【问题标题】：How to access S3 bucket created in us-west-2 region from us-east-1 account?如何从 us-east-1 帐户访问在 us-west-2 区域创建的 S3 存储桶？
【发布时间】：2020-11-10 12:30:04
【问题描述】：

我在 us-east-1 区域有账户 A，具有 IAM 角色 rt-profileRole 和我的应用程序设置。账户 B 在 us-west-1 和 us-west-2 中创建了 S3 存储桶。

我正在尝试使用具有角色 rtprofile 的 aws cli 列出对象。两个存储桶都具有与以下资源相似的存储桶策略，该资源具有正确的存储桶 arn 策略附加到的存储桶。

问题是我可以使用本地系统中的 aws s3 ls 列出在 us-west-1 中创建的存储桶中的对象。但是当我尝试在 us-west-2 中创建的存储桶时出现错误 调用 ListObjectsV2 操作时发生错误 (AccessDenied)：访问被拒绝

我厌倦了多个存储桶并得出结论，使用帐户 A 角色

我可以访问在 us-east-1 中创建的账户 A 的存储桶
我可以访问在 us-west-1 中创建的账户 B 的存储桶
我无法访问在 us-west-2 中创建的账户 B 的存储桶。

请帮助我了解这里的 west-2 区域有什么问题。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DelegateS3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::AccountA:role/rt-profileRole"
                ]
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucket-name/*",
                "arn:aws:s3:::bucket-name"
            ]
        }
    ]
}

【问题讨论】：

您检查过存储桶名称吗？所有三个存储桶都将具有不同的名称。可能会出现名称错误。

标签： amazon-web-services amazon-s3 amazon-iam

【解决方案1】：

将存储桶策略添加到存储桶后，您还必须确保该角色在其 IAM 策略中具有特权。

此外，如果您在 AWS 组织中，请确保账户 A 上没有阻止特定区域内操作的 SCP。

关于存储桶策略，您应该将其范围缩小到您希望存储桶在您确认它有效后使用的权限（目前它对存储桶的每个 S3 操作，包括删除）。

【讨论】：

关于存储桶策略是的，一旦我发现问题，我会提出必要的拒绝。是的，角色已添加特权，这就是我可以访问 us-west-1 区域中的存储桶的原因。唯一一点我不确定 SCP 是的，帐户 A 是我的雇主提供的帐户，所以我必须检查一下。