我们在应用程序负载均衡器上设置了一些 WAF 规则并登录到 cloudwatch。我创建了一个 S3 存储桶来将这些 cloudwatch 日志导出到。我可以读写 s3 存储桶、查看文件等,但是下载按钮呈灰色。无法从 S3 存储桶下载任何内容。
这是桶上的政策,我错过了什么?最初创建此策略是因为 cloudwatch 无法导出到 s3 存储桶。现在这一切正常了,我的用户(创建 s3 存储桶的用户)无法下载其中包含的文件。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCloudWatchLogsPutObject",
"Effect": "Allow",
"Principal": {
"Service": "logs.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-waf-logs-prod-op",
"arn:aws:s3:::aws-waf-logs-prod-op/*"
]
}
]
}
您可以在存储桶策略中添加新语句,该语句将允许用户从 S3 存储桶下载文件。 更新存储桶策略如下:-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCloudWatchLogsPutObject",
"Effect": "Allow",
"Principal": {
"Service": "logs.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-waf-logs-prod-op",
"arn:aws:s3:::aws-waf-logs-prod-op/*"
]
},
{
"Sid": "AllowUserGetObject",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::aws-waf-logs-prod-op/*"
}
]
}
您可以在建议的解决方案中添加“s3:GetObjectVersion”后重试吗?