amazon-s3 - 用于访问 S3 上的 jgit 的 IAM 配置-6ren

amazon-s3 - 用于访问 S3 上的 jgit 的 IAM 配置

转载作者：行者123 更新时间：2023-12-03 22:27:53

27

4

我正在尝试创建 IAM 权限，以便 jgit 可以访问我的一个存储桶中的目录。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": ["arn:aws:s3:::<mybucket>/<mydir>/*"]   
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:DeleteObject"
      ],
      "Resource": ["arn:aws:s3:::<mybucket>/<mydir>"]
    }
  ]  
}

不幸的是，它会引发错误。我不确定需要进行哪些其他允许操作才能使其正常工作。 (在 IAM 有点新)。

Caused by: java.io.IOException: Reading of '<mydir>/packed-refs' failed: 403 Forbidden
    at org.eclipse.jgit.transport.AmazonS3.error(AmazonS3.java:519)
    at org.eclipse.jgit.transport.AmazonS3.get(AmazonS3.java:289)
    at org.eclipse.jgit.transport.TransportAmazonS3$DatabaseS3.open(TransportAmazonS3.java:284)
    at org.eclipse.jgit.transport.WalkRemoteObjectDatabase.openReader(WalkRemoteObjectDatabase.java:365)
    at org.eclipse.jgit.transport.WalkRemoteObjectDatabase.readPackedRefs(WalkRemoteObjectDatabase.java:423)
    ... 13 more
Caused by: java.io.IOException:
<?xml version="1.0" encoding="UTF-8"?>
<Error><Code>AccessDenied</Code><Message>Access Denied</Message><RequestId>...</RequestId><HostId>...</HostId></Error>
    at org.eclipse.jgit.transport.AmazonS3.error(AmazonS3.java:538)
    ... 17 more

403 Forbidden 显然是错误，但不确定需要添加到 IAM 中的内容。有任何想法吗？

[也应该补充说，我在策略模拟器中尝试了这个，它似乎在那里工作。]

最佳答案

“403”错误可能只是意味着 key <mydir>/packed-refs不存在。根据 https://forums.aws.amazon.com/thread.jspa?threadID=56531 :

Amazon S3 will return an AccessDenied error when a nonexistent key is requested and the requester is not allowed to list the contents of the bucket.

如果您是第一次推送，该文件夹可能不存在，我猜您需要 ListBucket获得正确的父目录权限 NoSuchKey回复。尝试将第一条语句更改为:

{
  "Effect": "Allow",
  "Action": ["s3:ListBucket"],
  "Resource": ["arn:aws:s3:::<mybucket>/*"]   
}

我也注意到 jgit push s3 refs/heads/master工作时间 jgit push s3 master没有。

对 future 的人:如果您只想为自己的用户设置一个 git repos 存储桶，那么以下安全策略似乎就足够了:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::<bucketname>"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::<bucketname>/*"
            ]
        }
    ]
}

关于amazon-s3 - 用于访问 S3 上的 jgit 的 IAM 配置，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/28117233/

27

4

0

文章推荐： jquery - 如何将所有处理程序从一个延迟转移到另一个？

文章推荐： jquery - 解决 Ember 和 Dragula 的 DOM View

文章推荐： variables - VB6:禁用变体

amazon-iam - IAM 限制实例类型
我正在尝试对人们可以启动的实例类型设置一些限制。我有以下政策 { "Version": "2012-10-17", "Statement": [ { "Effect": "Al
aws-iam - AWS - IAM 角色和信任关系
我是 AWS 和 IAM 的新手，并试图了解角色和信任关系。我完全理解为什么要使用角色，如何创建它们以及它们的用例。我不明白的是信任关系步骤。在我见过的几乎所有情况下，它都是一对一的关系。 EC2
amazon-iam - 如何设置 IAM 角色根路径
我创建了一个名为 ab-role 的 IAM 角色。此角色的默认路径是/。我想将路径更改为/service-role/之类的内容。如何更改 IAM 角色的根路径。最佳答案我不相信你可以“改变”现
amazon-iam - 假设一次有多个 AWS IAM 角色
有时，我需要访问多个 AWS 资源，我可以通过单独的 IAM 角色单独访问这些资源。如果我需要一起使用这些资源，我目前必须找出一个非本地连接器。如果我可以同时访问这些资源，有时我可以使用 AWS 连
amazon-iam - StarCluster 所需的 IAM 权限
我正在关注 StarCluster configuration instructions我想创建一个新用户供 StarCluster 使用。我的问题是 StarCluster 运行所需的最小 IAM
amazon-iam - Terraform - assume_role_policy - 与标准 IAM 策略相似但略有不同
本页https://www.terraform.io/docs/providers/aws/r/iam_role.html提到: NOTE: This assume_role_policy is ve
powershell - 用于按关联 IAM 角色限制实例的 AWS IAM 策略
我正在尝试做的(继续我之前提出的问题:How can I filter AWS Instances by IAM role in powershell and get the private ip a
amazon-iam - 在 IAM 角色策略中定位联合 SAML 用户
我们目前正在使用 G Suite 作为我们的 AWS SAML 访问的 IDP，它在少数账户中承担一个角色，让我们的 G Suite 用户能够访问某些 AWS 资源。每个帐户都有一个名称相似的角色，G
amazon-iam - 如何使用 Terraform 维护/管理 IAM 用户
地形版本 Terraform v0.7.8 Terraform v0.7.11 受影响的资源 aws_iam_user Terraform 配置文件我正在尝试使用列表来管理 IAM 用户: vari
amazon-iam - 将 IAM 角色限制为具有特定标签的 CRUD CloudFormation 堆栈
我们有多个团队共享一个公共(public) AWS 生产账户。我们希望每个团队都有一个自己的 IAM 角色，使他们能够创建几乎所有类型的资源 (AdministratorAccess)。但是为了分开团
amazon-web-services - 有没有办法限制 IAM 角色可以在 IAM 策略上添加哪些操作？
我们希望我们的开发人员能够创建可以部署其服务的代码管道。这意味着他们需要能够为代码管道步骤创建 IAM 角色。这意味着我们需要为开发人员提供 IAM 功能。有没有办法限制这种情况，使他们可以创建的
amazon-web-services - lambda 函数 IAM 角色是否需要 IAM 权限才能调用自身？
问题 lambda 函数的 IAM 角色是否需要 IAM 权限才能调用自身？背景阅读 Tutorial: Process New Items with DynamoDB Streams and L
amazon-web-services - 向同一账户中的 iam 用户授予 aws iam 角色权限
我有一个具有 s3 只读权限的 AWS 角色。我已经为 AWS 用户配置了 aws cli。所以我想使用同一个用户在 aws cli 中浏览 s3 文件。我所做的是为角色添加了 root 用户的信任关
amazon-web-services - AWS : Assinging IAM roles to IAM users
根据AWS官方documentation ，IAM 角色也可以附加到 IAM 用户，而不仅仅是服务。将 IAM 角色分配给 IAM 用户的有效用例是什么？直接向用户授予(允许/拒绝)IAM 策略是
amazon-web-services - 允许用户在阻止访问 IAM 的同时更改自己的密码的 AWS IAM 策略
我的开发人员有一些管理帐户，他们应该能够管理所有 aws 资源，但不应该能够管理用户/root 属性。因此，我通过以下策略限制了对 IAM 的访问: { "Version": "2012-10-1
amazon-web-services - AWS 中 IAM 角色和 IAM 用户之间的区别
IAM 角色和 IAM 用户有什么区别？ IAM FAQ有一个条目解释它，但它是模糊的，不是很清楚: An IAM user has permanent long-term credentials a
amazon-web-services - AWS Cloudformation IAM - 无法创建 iam 用户
我正在使用云形成创建 IAM 用户，但出现以下错误: “API:iam:CreateUser 用户:arn:aws:sts::11111111111:assumed-role/MyCloudForma
amazon-web-services - 更改了我的云形成 IAM 组名称，但旧的 IAM 组不会被删除
我尝试更改云形成中的 iam 组名称，并且创建了新组名称，但旧组名称没有被删除。这是预期的吗？我应该手动删除这些吗？看起来它应该自动摆脱旧的。检查 aws 控制台中的堆栈信息表明一切已成功完成。谢谢
python - AWS IAM : change Access Key Id the from root to IAM
我有一个问题，我使用elastic beanstalk部署python django 当eb init时，我使用根访问 key ID和 secret 访问 key 来创建实例最近我读了有关 IAM
amazon-iam - 使用现有 S3 存储桶触发 Lambda 函数时如何避免授予 `iam:CreateRole` 权限？
我正在尝试部署一个 AWS Lambda 函数，该函数在将 AVRO 文件写入现有 S3 存储桶时触发。我的 serverless.yml配置如下: service: braze-lambdas p

首页

博学

6Ren·AI

商城

amazon-s3 - 用于访问 S3 上的 jgit 的 IAM 配置