AWS S3 Java SDK - 拒绝访问

Question

我正在尝试使用 AWS 开发工具包访问存储桶及其所有对象，但在运行代码时，我在线程“main”com.amazonaws.services.s3.model.AmazonS3Exception: Access Denied (Service: Amazon S3; Status Code: 403; Error Code: AccessDenied; Request ID: X), S3 Extended Request ID: Y= 中遇到异常错误

尽管我已经获得了对存储桶的所有以下权限，但请提出我缺少的地方以及为什么会发生访问被拒绝错误：

s3:GetObject
s3:GetObjectVersion
s3:GetObjectAcl
s3:GetBucketAcl
s3:GetBucketCORS
s3:GetBucketLocation
s3:GetBucketLogging
s3:ListBucket
s3:ListBucketVersions
s3:ListBucketMultipartUploads
s3:GetObjectTorrent
s3:GetObjectVersionAcl

代码如下：

AWSCredentials credentials = new BasicAWSCredentials(accessKey, secretKey);
ClientConfiguration clientConfig = new ClientConfiguration();
clientConfig.setProtocol(Protocol.HTTP);
AmazonS3 conn = new AmazonS3Client(credentials, clientConfig);
conn.setEndpoint(bucketName);
Bucket bucket = conn.createBucket(bucketName);
ObjectListing objects = conn.listObjects(bucket.getName());
do {
    for (S3ObjectSummary objectSummary : objects.getObjectSummaries()) {
            System.out.println(objectSummary.getKey() + "\t" +
                    objectSummary.getSize() + "\t" +
                    StringUtils.fromDate(objectSummary.getLastModified()));
    }
    objects = conn.listNextBatchOfObjects(objects);
} while (objects.isTruncated());

Answer 1

去 IAM 并检查正在用于 API 的用户 [Access Key & Secret Key] 是否有使用 S3 Based API 的特权。

将 S3 策略附加到指定用户 - 尝试使用 S3 完全访问权限；一旦成功，您就可以细化访问权限。 欲了解更多信息，请查看此链接 [Managing IAM Policies]

Answer 2

问题现在解决了。代码存在以下问题：

1. 终点不正确，应该有正确的终点。
2. 没有为存储桶提供足够的权限。在使用 AWS SDK 中的存储桶之前，应获取完整权限列表。

下面是正确的代码

AWSCredentials credentials = new BasicAWSCredentials(accessKey, secretKey);
ClientConfiguration clientConfig = new ClientConfiguration();
clientConfig.setProtocol(Protocol.HTTP);
AmazonS3 conn = new AmazonS3Client(credentials, clientConfig);
conn.setEndpoint("correct end point");
Bucket bucket = conn.createBucket(bucketName);
ObjectListing objects = conn.listObjects(bucket.getName());
do {
    for (S3ObjectSummary objectSummary : objects.getObjectSummaries()) {
            System.out.println(objectSummary.getKey() + "\t" +
                    objectSummary.getSize() + "\t" +
                    StringUtils.fromDate(objectSummary.getLastModified()));
    }
    objects = conn.listNextBatchOfObjects(objects);
} while (objects.isTruncated());

Answer 3

我遇到了同样的异常，这就是我修复它的方法。

使用服务端 KMS 对 S3 存储桶对象进行加密。我必须将 app/lambda 角色作为用户添加到加密密钥中。

Answer 4

在存储桶的权限选项卡中，我取消选中：

• 管理此存储桶的公共访问控制列表 (ACL)
• 阻止新的公共 ACL 和上传公共对象（推荐）

问题就解决了。

Answer 5

如果您在设置正确的 IAM 策略并检查存储桶/路径后仍然看到错误，请检查 apache http 客户端依赖项。 apache http 客户端 4.5.5 工作正常，而 4.5.7 及更高版本由于某些奇怪的原因（未正确编码文件夹路径分隔符）而失败。在这种情况下，您必须将 apache http 客户端版本显式设置为 4.5.5.. 或至少其他一些有效的版本。

Answer 6

// This is save s3 buket image  code   




    byte imageBytes[] = request.getThumbnail().readAllBytes();  

    InputStream inputStream = new ByteArrayInputStream(imageBytes);

    ObjectMetadata metadata = new ObjectMetadata();
    metadata.setContentLength(imageBytes.length);
    metadata.setContentType("image/png");
    String image = String.valueOf(System.currentTimeMillis());
    
    // String image=String.valueOf(System.getProperty(String.valueOf(inputRequest)));
    // String image=String.valueOf(System.getProperty(String.valueOf(inputRequest)));

    String key = "image/" + image;

    s3.putObject(new PutObjectRequest(bucketName, key, inputStream, metadata)
      .withCannedAcl(CannedAccessControlList.Private));