CloudFront Origin Access Identity 签名 url 上传的文件不能被 boto3 或 IAM 角色访问?
The file upload by CloudFront Origin Access Identity signed url can't be access by boto3 or IAM role?
存储桶策略如下所示:
{
"Version": "2008-10-17",
"Id": "PolicyForCloudFrontPrivateContent",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity XXXXXXXXX"
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::XXXXXX/*"
}
]
}
当我使用密钥对通过签名 url 上传文件时。文件所有者是
Owner CloudFront Origin Access Identity *********
目前,我无法在 ec2 中使用 boto3。命令
aws s3 cp s3::/xxx/uploadfile test.txt
给我一个错误:
fatal error: An error occurred (403) when calling the HeadObject operation: Forbidden
我可以上传不使用签名 url 的文件。 boto3 可以很好地访问这些文件。这些文件的所有者是
****MyCountName*****
所以我不明白为什么 ec2 机器不能引导 origin access identity 文件?
您是要将文件上传到 S3 还是从 S3 下载文件?因为你提到了这个命令 aws s3 cp s3::/xxx/uploadfile test.txt 它下载一个文件而不是上传,这是一个 aws-cli 命令不是 boto3.
请在此处查看此文档 - http://docs.aws.amazon.com/cli/latest/reference/s3/cp.html
如您所见,当 CloudFront 原始访问身份 (OAI) 授权上传时,OAI 是拥有 object 的实体,而不是您的帐户。
Owner CloudFront Origin Access Identity XXXX
OAI 代表您完全控制的实体,但它们实际上并不是您的 AWS 账户的一部分。
object 的所有权由授权上传的帐户决定,而不是拥有存储桶的帐户。上传帐户以外的帐户必须由拥有 object.
的帐户授予权限
x-amz-acl: bucket-owner-full-control
http://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html
您可以使用存储桶策略将此 header 设为强制性。
如果您控制进行上传的客户端,您应该能够添加此 header。
如果您不控制客户端,您应该能够使用 Lambda@Edge Viewer 请求触发器添加它。我没有测试过这段代码,但它应该可以达到目的:
'use strict';
exports.handler = (event, context, callback) => {
const request = event.Records[0].cf.request;
if(request.method == 'PUT')
{
request.headers['x-amz-acl'] = [
{ key: 'x-amz-acl', value: 'bucket-owner-full-control' }
];
}
return callback(null, request);
};
存储桶策略如下所示:
{
"Version": "2008-10-17",
"Id": "PolicyForCloudFrontPrivateContent",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity XXXXXXXXX"
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::XXXXXX/*"
}
]
}
当我使用密钥对通过签名 url 上传文件时。文件所有者是
Owner CloudFront Origin Access Identity *********
目前,我无法在 ec2 中使用 boto3。命令
aws s3 cp s3::/xxx/uploadfile test.txt
给我一个错误:
fatal error: An error occurred (403) when calling the HeadObject operation: Forbidden
我可以上传不使用签名 url 的文件。 boto3 可以很好地访问这些文件。这些文件的所有者是
****MyCountName*****
所以我不明白为什么 ec2 机器不能引导 origin access identity 文件?
您是要将文件上传到 S3 还是从 S3 下载文件?因为你提到了这个命令 aws s3 cp s3::/xxx/uploadfile test.txt 它下载一个文件而不是上传,这是一个 aws-cli 命令不是 boto3.
请在此处查看此文档 - http://docs.aws.amazon.com/cli/latest/reference/s3/cp.html
如您所见,当 CloudFront 原始访问身份 (OAI) 授权上传时,OAI 是拥有 object 的实体,而不是您的帐户。
Owner CloudFront Origin Access Identity XXXX
OAI 代表您完全控制的实体,但它们实际上并不是您的 AWS 账户的一部分。
object 的所有权由授权上传的帐户决定,而不是拥有存储桶的帐户。上传帐户以外的帐户必须由拥有 object.
的帐户授予权限x-amz-acl: bucket-owner-full-control
http://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html
您可以使用存储桶策略将此 header 设为强制性。
如果您控制进行上传的客户端,您应该能够添加此 header。
如果您不控制客户端,您应该能够使用 Lambda@Edge Viewer 请求触发器添加它。我没有测试过这段代码,但它应该可以达到目的:
'use strict';
exports.handler = (event, context, callback) => {
const request = event.Records[0].cf.request;
if(request.method == 'PUT')
{
request.headers['x-amz-acl'] = [
{ key: 'x-amz-acl', value: 'bucket-owner-full-control' }
];
}
return callback(null, request);
};