个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
29
4
我已经浏览了几个小时的文档,并不觉得自己错过了任何东西,但显然我错过了。我在源账户中有 S3 对象,我想将其复制到目标账户中的 S3 存储桶。这是我的设置(请注意,我最初故意将权限设置得非常宽松,只是为了使其正常工作。计划稍后缩小范围):
lambda 在 source_account 中由 Cloudformation 创建的 Angular 色:
CopyRole:
Properties:
RoleName: 'CopyRole'
AssumeRolePolicyDocument:
Statement:
- Action: [ 'sts:AssumeRole' ]
Effect: Allow
Principal:
Service: [ lambda.amazonaws.com ]
Version: '2012-10-17'
Policies:
- PolicyDocument:
Statement:
- Action: [ 'logs:CreateLogStream', 'logs:PutLogEvents', 'logs:CreateLogGroup' ]
Effect: Allow
Resource: '*'
- Action: [ 's3:*', 'kms:*' ]
Effect: Allow
Resource: '*'
- Action: [ 'sts:AssumeRole' ]
Effect: Allow
Resource: '*'
PolicyName: CopyPolicy
Type: AWS::IAM::Role
请注意,上述 Angular 色可以承担任何其他 Angular 色。
dest_account DestAccountCopyRole 中的 IAM Angular 色应授予源存储桶(其他帐户)的读取权限和目标存储桶(同一帐户中)的写入权限
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:GetLifecycleConfiguration",
"s3:GetBucketTagging",
"s3:GetInventoryConfiguration",
"s3:GetObjectVersionTagging",
"s3:ListBucketVersions",
"s3:GetBucketLogging",
"s3:ListBucket",
"s3:GetAccelerateConfiguration",
"s3:GetBucketPolicy",
"s3:GetObjectVersionTorrent",
"s3:GetObjectAcl",
"s3:GetEncryptionConfiguration",
"s3:GetBucketObjectLockConfiguration",
"s3:GetBucketRequestPayment",
"s3:GetObjectVersionAcl",
"s3:GetObjectTagging",
"s3:GetMetricsConfiguration",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketPolicyStatus",
"s3:ListBucketMultipartUploads",
"s3:GetObjectRetention",
"s3:GetBucketWebsite",
"s3:GetBucketVersioning",
"s3:GetBucketAcl",
"s3:GetObjectLegalHold",
"s3:GetBucketNotification",
"s3:GetReplicationConfiguration",
"s3:ListMultipartUploadParts",
"s3:GetObject",
"s3:GetObjectTorrent",
"s3:GetBucketCORS",
"s3:GetAnalyticsConfiguration",
"s3:GetObjectVersionForReplication",
"s3:GetBucketLocation",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::source_bucket",
"arn:aws:s3:::source_bucket/*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"s3:GetAccessPoint",
"s3:GetAccountPublicAccessBlock",
"s3:ListAllMyBuckets",
"s3:ListAccessPoints",
"s3:ListJobs"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectRetention",
"s3:PutObjectVersionAcl",
"s3:PutObjectVersionTagging",
"s3:PutObjectTagging",
"s3:PutObjectLegalHold",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::dest_account_bucket/*"
}
]
}
... trust policy which allows the lambda role to assume this role
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source_account:root"
},
"Action": "sts:AssumeRole"
}
]
}
source_account 存储桶策略,允许目标账户中的 IAM Angular 色从源存储桶读取数据
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DelegateS3Access",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::dest_account:role/DestAccountCopyRole"
},
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::source_account_bucket",
"arn:aws:s3:::source_account_bucket/*"
]
}
]
}
dest_account 存储桶策略
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::dest_account:root"
},
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::dest_account_bucket",
"arn:aws:s3:::dest_account_bucket/*"
]
}
]
}
我在 javascript 上运行的 lambda 能够通过承担跨帐户 Angular 色的部分,但在尝试复制数据时失败,并显示访问被拒绝
const creds = await getCredentials(destination_bucket)
.catch((err) => {
console.log(err);
throw err;
});
s3Dest = new aws.S3(creds);
return s3.listObjects(sourcePath).promise()
.then(async (data) => {
return Promise.all(data.Contents.map((item) => {
console.log(`Copying data over`);
s3Dest.copyObject({
Bucket: destination_bucket,
CopySource: copy_source,
Key: key
}).promise();
}));
}).catch((err) => {
console.log(`Error: ${err}`);
throw err;
});
const getCredentials = async (bucket) => {
return new Promise((resolve, reject) => {
const params = {
RoleArn: "arn:aws:iam::dest_account:role/DestAccountCopyRole",
RoleSessionName: 'copy-test'
};
sts.assumeRole(params, (err, data) => {
if (err) reject(err);
else {
console.log(data);
resolve({
accessKeyId: data.Credentials.AccessKeyId,
secretAccessKey: data.Credentials.SecretAccessKey,
sessionToken: data.Credentials.SessionToken,
});
}
});
});
};
我认为我对 Javascript 的了解也不够,因为 cloudwatch 日志同时打印 Copying data over 和 Error: Access Denied 然后失败(我认为 Error: Access Denied 仅当 listObjects 调用失败时才会显示,但看起来它可以获取项目,只是在复制部分失败)
最佳答案
在属于不同 AWS 账户的存储桶之间复制对象(“跨账户复制”)时,一组凭证需要从源位置读取和写入<的权限/strong> 到达目的地。
由于您的代码从目标账户承担 IAM Angular 色,因此您还需要在源存储桶上创建存储桶策略,以授予该 IAM Angular 色从源存储桶读取数据的权限。
Lambda 函数使用的 IAM Angular 色有权访问源存储桶并不重要,因为copy() 操作将由从目标假定的 IAM Angular 色执行帐户,因此它不会使用分配给 Lambda 函数的 IAM Angular 色的任何权限。
此外,在授予 IAM Angular 色写入目标存储桶的权限时,通过 IAM Angular 色本身的策略授予此权限实际上是更好的做法,而不是作为桶策略。一般来说,存储桶策略仅应在授予公共(public)访问权限或跨账户访问权限时使用,而不是仅向一个用户授予权限。
关于javascript - 访问被拒绝 CloudFormation 跨帐户 s3 副本,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/71655624/
29
4
0
在我的应用程序中播放背景音乐时遇到问题。 首先,我在第一个 Storyboard View Controller 中的 ViewDidLoad 方法中开始播放音乐。即使我从一个页面跳转到另一个页面,它
我想跨行连接数组,然后进行不同的计数。理想情况下,这会起作用: WITH test AS ( SELECT DATE('2018-01-01') as date, 2 as value,
这是一个场景: Repo A 是一个包含大量模块和依赖项的怪异代码。安装起来并不容易。它由其他人维护并托管在 Github 上。 Repo A 包含一个非常有用的模块 X,并且几乎不依赖于 Repo
目前,我在一台服务器上运行了一个应用程序。有一个 crontab 设置,因此根据指定的规则,在某些时间运行任务。 现在,我正在考虑将我的应用程序迁移到 docker 容器中,以便我能够独立运行我的应用
我有一个全局表,我想在两个不同的 Lua 状态之间保持同步。根据我所阅读和理解的内容,唯一的方法似乎是,在我的 C 后端,在状态之间进行表的深层复制(如果表已被修改)。有没有更好的办法 ? 另外,我看
我们目前有一个 asmx webservice,它公开了一个方法来对 Sql 数据库进行各种更新,内部包装在 SqlTransaction 中。 我正在 WCF 中重写此服务,我们希望将现有方法拆分为
我是 Qt 的新手,所以请原谅这个问题的简单性,但我对 Qt 线程有点困惑。假设我有 3 个线程:主要的默认 GUI 线程和我自己创建的 2 个线程(称为 WorkerThread)。我的每个 Wor
我们的产品有一个 Restful API 和一个服务器渲染的应用程序(CMS)。两者共享数据库。两者都是用django编写的 两者所需的字段和模型并不是相互排斥的,有些仅针对 API,有些针对 CMS
我正在实现一个基于角色的访问控制系统,它具有以下数据库表。 groups --------- id (PK) name level resources --------- id (PK) name r
我有三个应用程序,为了便于管理,我希望将它们分开。他们按照建议作为 Plack 服务器运行 here , 代理在 nginx 后面。 我想有一个单独的应用程序来管理登录,并在所有其他应用程序之间共享该
我的主窗口上有一个 UIWebView。我可以通过我的第二个 View Controller 来控制它吗?如果可以的话你能给我举个例子吗? 最佳答案 是的,你可以。 “如何”是一个基本的 Cocoa/
我想制作一个小型应用程序,从连接到串行端口的设备收集数据,并将其通过 LAN 传递到另一个应用程序,后者将其存储在数据库中。 我已经在一台 PC 上的一个应用程序中完成了此操作,因此实际上会将应用程序
从主 AppDomain,我试图调用在不同 AppDomain 中实例化的类型中定义的异步方法。 比如下面的类型MyClass继承自 MarshalByRefObject并在新的 AppDomain
因为 LiveServerTestCase继承自 TransactionTestCase ,默认行为是在每个测试方法结束时删除测试数据。我想用LiveServerTestCase类,但保留方法之间的测
我正在开发我的第一个 WPF/MVVM 应用程序,但我在命令知识方面遇到了限制! 这是我的场景。 我有一个窗口——Customer.xaml。 它包含 2 个用户控件 查看CustomerSearch
这是我的 WPF 应用程序模型的简化版本: Employee +Name:string Client +Name:string +PhoneNumber:string Appointmen
我有一个 mercurial 存储库,它使用子存储库功能(如 .hgsub 文件中定义的)引入依赖项,但我正在努力让它在 TeamCity 中工作。 我启用了 mercurial_keyring 扩展
我正在尝试使用新的 Azure 虚拟网络公共(public)预览版的对等互连功能来加入我在两个不同订阅(即不同租户)上拥有的两个网络。这可能吗?我没有看到任何其他说法,但是当我尝试在 PowerShe
我有 2 个存储库。由于主干代码位于一个 protected 存储库中,因此我进行了 checkout ,然后 checkin 到另一个存储库(因为用户没有第一个 protected 存储库的权限)。
我有一个项目,其调用结构与此类似: 主要项目/应用 我的图书馆代码 别人的库代码 我的图书馆代码 一切都是用 C# 编写的,我可以访问“其他人的库代码”。他们的代码不包含在我的项目中,因为它是开源的而
我是一名优秀的程序员,十分优秀!