S3:HeadObject - 返回 403 响应

问题描述 投票:0回答:3

我有一个无服务器服务,在 serverless.yml 文件中使用以下配置运行:

service: tableau-export-rest

custom:
  dev:
    tableauBookmarksBucket: tmt-${self:provider.stage}-tableau-bookmarks
  qa:
    tableauBookmarksBucket: tmt-${self:provider.stage}-tableau-bookmarks
  prod:
    tableauBookmarksBucket: tmt-${self:provider.stage}-tableau-bookmarks

provider:
  name: aws
  runtime: nodejs12.x
  region: eu-west-1
  stage:  ${opt:stage, 'dev'}
  timeout: 900
  memorySize: 3008
  environment:
    TABLEAU_BOOKMARKS_BUCKET: ${self:custom.${self:provider.stage}.tableauBookmarksBucket}
  iamRoleStatements:
    - Effect: Allow
      Action:
        - s3:PutObject
        - s3:GetObject
        - s3:ListBucket
      Resource: "arn:aws:s3:::${self:custom.${self:provider.stage}.tableauBookmarksBucket}/*"
    - Effect: Allow
      Action:
        - lambda:InvokeFunction
      Resource: "arn:aws:lambda:*"

functions:
  saveBookmark:
    handler: index.saveBookmark
    timeout: 30
    events:
      - http:
          path: /save-bookmark
          method: post
          cors: 
            origin: '*'


saveBookmark
函数看起来像这样:

  const params = {
    Bucket: process.env.TABLEAU_BOOKMARKS_BUCKET,
    Key: 'ABC123'
  }

  s3.headObject(params, (err, data) => {
    if (err) {
      console.log(err);
    } else {
      console.log(data);
    }
  })

由于某种原因,当我尝试将不存在的存储桶中的文件设为 HEAD 时,出现 403 错误。研究这个问题后,我发现我应该将权限 

s3:ListBucket
添加到无服务器权限列表中,以允许我所做的 headObject 方法。这似乎没有任何效果,因为当我尝试将一个对象放入桶中时,仍然收到 403 错误。

存储桶不是公开的,当我尝试使用 

putObject
方法将文件上传到存储桶时,它工作正常。此外,当文件存在于存储桶中时,headObject 方法可以很好地处理 403。

当存储桶中不存在文件时,为什么我会收到 403 而不是 404?

谢谢

javascript amazon-web-services amazon-s3 serverless
3个回答
14
投票

尝试改变

iamRoleStatements:
    - Effect: Allow
      Action:
        - s3:PutObject
        - s3:GetObject
        - s3:ListBucket
      Resource: "arn:aws:s3:::${self:custom.${self:provider.stage}.tableauBookmarksBucket}/*"


iamRoleStatements:
    - Effect: Allow
      Action:
        - s3:PutObject
        - s3:GetObject
      Resource: "arn:aws:s3:::${self:custom.${self:provider.stage}.tableauBookmarksBucket}/*"
    - Effect: Allow
      Action: s3:ListBucket
      Resource: "arn:aws:s3:::${self:custom.${self:provider.stage}.tableauBookmarksBucket}"
2
投票

我认为您缺少 

GetObjectAttributes
许可。所以您的完整政策如下所示。

iamRoleStatements:
    - Effect: Allow
      Action:
        - s3:PutObject
        - s3:GetObject
        - s3:ListBucket
        - s3:GetObjectAttributes
      Resource: "arn:aws:s3:::${self:custom.${self:provider.stage}.tableauBookmarksBucket}/*"

这里引用官方文档

为此您需要相关的读取对象(或版本)权限 手术。有关详细信息,请参阅指定权限 政策。如果您请求的对象不存在,则错误 Amazon S3 返回值取决于您是否也有 s3:ListBucket 权限。

如果您拥有存储桶的 s3:ListBucket 权限,Amazon S3 返回 HTTP 状态代码 404(“没有这样的密钥”)错误。

如果您没有 s3:ListBucket 权限,Amazon S3 将返回 HTTP 状态代码 403(“访问被拒绝”)错误。

以下操作与 HeadObject 相关:

  1. 获取对象
  2. 获取对象属性
0
投票

botocore.exceptions.ClientError:调用 HeadObject 操作时发生错误(403):Forbidden

即使在使用 adminS3fullaccess 权限创建 s3 存储桶之后,我仍然看到上述 botocore 异常...

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.