我创建了一个新的 S3 存储桶,并保留了所有默认值。我正在尝试使用 PutObject 方法将对象从 lambda 函数写入存储桶。无论我附加什么策略或做什么,我都会在操作中得到“拒绝访问”,除非我编辑存储桶 ACL 并将其完全公开。显然这不是一个很好的解决方案。我真的不知道发生了什么:我知道我以前没有任何特殊设置就这样做过。 lambda 和 S3 存储桶都在同一个账户中,并且分配给 lambda 的角色附加了 AWSLambdaFullAccess 策略。我快疯了,任何帮助将不胜感激。
【问题讨论】:
标签: amazon-web-services amazon-s3 aws-lambda
很遗憾,"s3:PutObject" 不足以使其运行 - 您将不断收到 403 Access denied 错误。
您应该将"s3:PutObjectAcl" 策略添加到您的 Lambda 角色。
【讨论】:
我遇到了这个确切的问题。
解决方案
我解决它的方法是使用以下策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PetsS3Write",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::<bucket name or wildcard if you want all buckets writable>/*"
}
]
}
评论
如果您查看 IAM 控制台中的实际策略,您会发现这将授予 lambda 对存储桶和任何对象的写入权限。这是资源标题下 IAM 视图中的样子:
BucketName | string like | auth0-test-hucket, ObjectPath | string like | All。
如果最后没有通配符,它将无法将任何对象写入存储桶,因为它无法命名该对象,因为没有权限这样做。如果您编辑策略,您将看到您可以指定 Bucket name 和 Object name。
所以,我假设通配符可以替换为字符串,它会限制对该特定字符串的写访问。就像如果您将通配符替换为“oneObject”,那么您将只能在名为“oneObject”的存储桶中创建一个对象。这个我没试过,不过好像是按照上面的规则来的。
【讨论】:
根据您分配给 Lambda 函数的权限集,AWSLambdaFullAccess 不会授予您访问权限到您的 S3 存储桶。除了这些权限之外,您还需要允许访问 S3。如果 PutObject 是您需要的唯一权限,则可以将以下策略添加到您的 Lambda 角色。请记住,这些权限可以进一步锁定到资源级别,但您可以从以下开始:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1546988882992",
"Action": [
"s3:PutObject"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
您可以根据自己的要求添加或删除更多 S3 权限。
【讨论】:
"Resource" 键使用通配符 (*) 不是最佳做法,这是一种允许的方式。我有这个完全相同的问题。我的解决方案如下。
您应该更改 s3 存储桶的策略。 所以你可以使用下面的代码。
iamRoleStatements:
- Effect: 'Allow'
Action:
- 's3:PutObject'
- 's3:GetObject'
Resource: "arn:aws:s3:::*/*"
- Effect: 'Allow'
Action:
- 's3:ListBucket'
Resource: "arn:aws:s3:::*"
注意:您应该将s3:PutObjecct 付诸行动。
希望对你有所帮助。
【讨论】: