我正在尝试使用
write_using()
包中的 aws.s3
从 EC2 中的 R 读取/写入 S3。
EC2 附加了一个 IAM,允许读取/写入特定 AWS S3 存储桶
我已将 IAM 与 EC2 关联。我还创建了一个存储桶(在本示例中,请假设它名为
my-unique-bucket
)
当我进入 EC2 并打开 R 时,然后运行类似
s3write_using(mtcars, FUN = write.csv, object = "mtcars.csv", bucket = "my-unique-bucket")
的内容
我明白了
List of 4
$ Code : chr "AccessDenied"
$ Message : chr "Access Denied"
$ RequestId: chr "3B942C125C154B49"
$ HostId : chr "0dgc4Iuv3EXdQxMgkh4Qkxt+aADzxsVYp6pq2k3/OjSztFlV1nftjn4MkIvNZ+wCVqzeJsttY44="
- attr(*, "headers")=List of 6
..$ x-amz-request-id : chr "3B942C125C154B49"
..$ x-amz-id-2 : chr "0dgc4Iuv3EXdQxMgkh4Qkxt+aADzxsVYp6pq2k3/OjSztFlV1nftjn4MkIvNZ+wCVqzeJsttY44="
..$ content-type : chr "application/xml"
..$ transfer-encoding: chr "chunked"
..$ date : chr "Tue, 18 Jun 2019 12:57:45 GMT"
..$ server : chr "AmazonS3"
..- attr(*, "class")= chr [1:2] "insensitive" "list"
- attr(*, "class")= chr "aws_error"
NULL
Error in parse_aws_s3_response(r, Sig, verbose = verbose) :
Forbidden (HTTP 403).
我本来希望这能起作用吗?相反,它看起来像是身份验证问题
我不确定接下来要尝试什么,因为我希望上述方法能起作用。
如果没有,我是否需要以某种方式对 EC2(或在 EC2 上运行的 R 会话)进行身份验证?我认为使用根凭证进行身份验证违背了 IAM 的目的(因为根用户拥有所有权限,而与实例关联的 IAM 仅具有对 S3 的读/写权限)。所以我不确定这是否是正确的做法(似乎会有更好的方法 - 即让 S3 知道 EC2 有一个 IAM 允许其访问)。但我不知道如何做到这一点,也不知道我在尝试这个过程中哪里出了问题
您需要使用 aws.ec2metadata 并确保指定正确的 s3 存储桶区域才能使用 ec2 或 ecs 任务 IAM 角色。
library(aws.s3)
library(aws.ec2metadata)
Sys.setenv("AWS_DEFAULT_REGION" = 'us-west-2')
这里有一些事情需要研究。
根据 https://cran.r-project.org/web/packages/aws.s3/readme/README.html,它使用 https://github.com/cloudyr/aws.signature/ aws auth 并且您需要使用 aws.ec2metadata
如果 R 在 EC2 实例上运行,则由 aws.ec2metadata 提供的角色配置文件凭证(如果安装了 aws.ec2metadata 包)。
使用 EC2 时,请注意
aws.ec2metadata
仅支持 IMDSv1。如果您的 EC2 实例需要 IMDSv2,则没有可用的元数据。
如果 R 在 ECS 任务上运行,则由 aws.ec2metadata 提供的角色配置文件凭证(如果安装了 aws.ec2metadata 包)。
aws s3 ls s3://my_bucket/directory/
aws s3 cp s3://my_bucket/directory/myfile /tmp/
aws s3 cp /tmp/test s3://my_bucket/directory/ # check this only if you need write access
这可以在任何地方工作(例如 Windows、Mac 等,无论是在 EC2 上运行还是在其他方式上运行)。您在 R 中需要此代码:
key <- "ALIAVI5FAYD9B(8MVJZ" # Substitute with your own (see below)
secret <- "ePy7jMlRj5jTVAruqmb3uap9bHXmnsSHI+zqfdmHL" # (see below)
Sys.setenv("AWS_ACCESS_KEY_ID" = key,
"AWS_SECRET_ACCESS_KEY" = secret)
bucketlist() # This returns a list of all your buckets if authentication was successful
要使其正常工作,您需要使用独特的
key
和 secret
来加入。这样做只需 1 分钟,请执行以下操作:
# Write to your S3 bucket
s3write_using(mtcars, FUN = write.csv, object = "mtcars.csv", bucket = "your-bucket-name")
# Read from your S3 bucket
myfile <- s3read_using(FUN = read.csv, object = "mtcars.csv", bucket = "your-bucket-name")
# In case you need to remove an environment variable AWS_SESSION_TOKEN, this will clear it
Sys.unsetenv("AWS_SECRET_ACCESS_KEY")