我有一个无服务器服务,在 serverless.yml 文件中使用以下配置运行:
service: tableau-export-rest
custom:
dev:
tableauBookmarksBucket: tmt-${self:provider.stage}-tableau-bookmarks
qa:
tableauBookmarksBucket: tmt-${self:provider.stage}-tableau-bookmarks
prod:
tableauBookmarksBucket: tmt-${self:provider.stage}-tableau-bookmarks
provider:
name: aws
runtime: nodejs12.x
region: eu-west-1
stage: ${opt:stage, 'dev'}
timeout: 900
memorySize: 3008
environment:
TABLEAU_BOOKMARKS_BUCKET: ${self:custom.${self:provider.stage}.tableauBookmarksBucket}
iamRoleStatements:
- Effect: Allow
Action:
- s3:PutObject
- s3:GetObject
- s3:ListBucket
Resource: "arn:aws:s3:::${self:custom.${self:provider.stage}.tableauBookmarksBucket}/*"
- Effect: Allow
Action:
- lambda:InvokeFunction
Resource: "arn:aws:lambda:*"
functions:
saveBookmark:
handler: index.saveBookmark
timeout: 30
events:
- http:
path: /save-bookmark
method: post
cors:
origin: '*'
saveBookmark
函数看起来像这样:
const params = {
Bucket: process.env.TABLEAU_BOOKMARKS_BUCKET,
Key: 'ABC123'
}
s3.headObject(params, (err, data) => {
if (err) {
console.log(err);
} else {
console.log(data);
}
})
由于某种原因,当我尝试将不存在的存储桶中的文件设为 HEAD 时,出现 403 错误。研究这个问题后,我发现我应该将权限
s3:ListBucket
添加到无服务器权限列表中,以允许我所做的 headObject 方法。这似乎没有任何效果,因为当我尝试将一个对象放入桶中时,仍然收到 403 错误。
存储桶不是公开的,当我尝试使用
putObject
方法将文件上传到存储桶时,它工作正常。此外,当文件存在于存储桶中时,headObject 方法可以很好地处理 403。
当存储桶中不存在文件时,为什么我会收到 403 而不是 404?
谢谢
尝试改变
iamRoleStatements:
- Effect: Allow
Action:
- s3:PutObject
- s3:GetObject
- s3:ListBucket
Resource: "arn:aws:s3:::${self:custom.${self:provider.stage}.tableauBookmarksBucket}/*"
到
iamRoleStatements:
- Effect: Allow
Action:
- s3:PutObject
- s3:GetObject
Resource: "arn:aws:s3:::${self:custom.${self:provider.stage}.tableauBookmarksBucket}/*"
- Effect: Allow
Action: s3:ListBucket
Resource: "arn:aws:s3:::${self:custom.${self:provider.stage}.tableauBookmarksBucket}"
我认为您缺少
GetObjectAttributes
许可。所以您的完整政策如下所示。
iamRoleStatements:
- Effect: Allow
Action:
- s3:PutObject
- s3:GetObject
- s3:ListBucket
- s3:GetObjectAttributes
Resource: "arn:aws:s3:::${self:custom.${self:provider.stage}.tableauBookmarksBucket}/*"
这里引用官方文档
为此您需要相关的读取对象(或版本)权限 手术。有关详细信息,请参阅指定权限 政策。如果您请求的对象不存在,则错误 Amazon S3 返回值取决于您是否也有 s3:ListBucket 权限。
如果您拥有存储桶的 s3:ListBucket 权限,Amazon S3 返回 HTTP 状态代码 404(“没有这样的密钥”)错误。
如果您没有 s3:ListBucket 权限,Amazon S3 将返回 HTTP 状态代码 403(“访问被拒绝”)错误。
以下操作与 HeadObject 相关:
- 获取对象
- 获取对象属性
botocore.exceptions.ClientError:调用 HeadObject 操作时发生错误(403):Forbidden
即使在使用 adminS3fullaccess 权限创建 s3 存储桶之后,我仍然看到上述 botocore 异常...