完全阻止对 s3 的公共访问后，即使是管理员用户也无法访问它

Question

我被指示阻止对 s3 的公共访问。所以我将其屏蔽如下：

现在我尝试授予自己查看或下载存储桶中 PDF 的权限。所以我创建了一个完全访问策略如下：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:ListStorageLensConfigurations",
                "s3:GetAccessPoint",
                "s3:PutAccountPublicAccessBlock",
                "s3:GetAccountPublicAccessBlock",
                "s3:ListAllMyBuckets",
                "s3:ListAccessPoints",
                "s3:ListJobs",
                "s3:PutStorageLensConfiguration",
                "s3:CreateJob"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::*"
        }
    ]
}

并附加到我的 IAM 用户。即使在此之后，当我单击对象级别可用的对象 URL 时，我仍然收到拒绝访问消息：

Answer 1

Solution ：不要打开指向对象的 HTTPS 链接，而是使用 Amazon S3 控制台下载对象。当您下载对象时，请求中包含您用于登录 Amazon S3 控制台的凭证。

Explanation : Why am I getting an Access Denied error when I open the link to an Amazon S3 object that I have access to?

另一种选择是使用 aws cli s3 cp 命令下载对象。

Answer 2

在 Amazon S3 管理控制台中，有两种方法可以访问对象。

对象 URL 链接只是打开带有指定 URL 的浏览器选项卡（例如 punchs3qa.s3-us-west-2.amazonaws.com/100000.pdf）。这是一个“匿名 URL”，因为它不识别用户。默认情况下，Amazon S3 中的对象是私有的，这就是该对象不可访问的原因。 （这很好！）

要使用您的 IAM 用户访问对象，您可以使用 对象操作 菜单中的 打开 命令。这将生成一个签名 URL，其中包括身份验证信息。它看起来像：

https://punchs3qa.s3.us-west-2.amazonaws.com/100000.pdf?X-Amz-Security-Token=xxx&X-Amz-SignedHeaders=host&X-Amz-Expires=300&X-Amz-Credential=ASIAxxx&X-Amz-Signature=xxx

然后，Amazon S3 将验证签名并允许打开对象。

同样，您可以使用 AWS CLI，使用您的 IAM 用户凭证访问该对象：

aws s3 cp s3://punchs3qa/100000.pdf .

该命令会将文件复制到本地目录。

底线：它正在做你想做的事。您只需要在访问对象时表明自己的身份即可。