amazon-s3 - 从 CodeShip 部署到 Elastic Beanstalk 的适当 S3 权限是什么

Question

使用 CodeShip 部署 Elastic Beanstalk 应用程序的适当 S3 权限是什么？将新版本部署到 tomcat 应用程序时，出现以下错误:

Service:Amazon S3, Message:You do not have permission to perform the 's3:ListBucket' action. Verify that your S3 policies and your ACLs allow you to perform these actions.

Service:Amazon S3, Message:You do not have permission to perform the 's3:GetObject' or 's3:ListBucket' action. Verify that your S3 policies and your ACLs allow you to perform these actions.

如果我授予 CodeShip 用户对 S3 的完全访问权限，则一切正常，但这并不理想。我的 CodeShip 用户的当前 S3 权限是

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
                "arn:aws:s3:::codeshipbucket/*"
            ]
        }
    ]
}

如果重要的话，我给 CodeShip 的 S3 存储桶是 codeshipbucket 下的子文件夹。

什么是适当的权限？

Answer 1

在我们的内部测试中，我们已经能够仅使用以下 S3 权限部署到 ElasticBeanstalk

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::YOUR_S3_BUCKET_NAME/*"
            ]
        }
    ]
}

这就是我们目前在 https://codeship.com/documentation/continuous-deployment/deployment-to-elastic-beanstalk/#s3 提供的文档中推荐的内容。

也就是说，我们的一个很棒的用户发布了一份关于如何部署到 Elastic Beanstalk 的非常广泛的指南，可在 http://nudaygames.squarespace.com/blog/2014/5/26/deploying-to-elastic-beanstalk-from-your-continuous-integration-system 上找到。并推荐一组更广泛的 S3 权限。

免责声明:我为 Codeship 工作，但您可能已经从我的回答中猜到了。