S3バケットからのアクセスが拒否されました[ペンデント]

Question

アカウントAクラウド化されたs3バケットを作成し、CodeBuildがアーティファクトを作成してこのバケットにアップロードしました。アカウントBでは、私は雲の形をしたスタックを作成し、アカウントAのバケツのアーティファクトを使ってラムダ機能を展開します。しかし、私はアクセス拒否エラーが発生します。誰もが解決策を知っていますか？おかげで...のみ、Principal/AWSオブジェクト内のアイテムとしてだけでアカウントIDを指定することにより、アカウント内のすべてのアイデンティティへのアクセスを許可しようとrootの役割へのアクセスを許可する

"TestBucket": { 
    "Type": "AWS::S3::Bucket", 
    "DeletionPolicy": "Retain", 
    "Properties": { 
    "AccessControl": "BucketOwnerFullControl" 
    } 
}, 
"IAMPolicy": { 
    "Type": "AWS::S3::BucketPolicy", 
    "Properties": { 
    "Bucket": { 
     "Ref": "TestBucket" 
    }, 
    "PolicyDocument": { 
     "Statement": [ 
     { 
      "Effect": "Allow", 
      "Principal": { 
      "AWS": [ 
       "arn:aws:iam::xxxxxxxxxxxx:root", 
       "arn:aws:iam::xxxxxxxxxxxx:root" 
      ] 
      }, 
      "Action": [ 
      "s3:GetObject" 
      ], 
      "Resource": [ 
      { 
       "Fn::Join": [ 
       "", 
       [ 
        "arn:aws:s3:::", 
        { 
        "Ref": "TestBucket" 
        }, 
        "/*" 
       ] 
       ] 
      }, 
      { 
       "Fn::Join": [ 
       "", 
       [ 
        "arn:aws:s3:::", 
        { 
        "Ref": "TestBucket" 
        } 
       ] 
       ] 
      } 
      ] 
     } 
     ] 
    } 
    } 
} 

Answer 1

代わりの"arn:aws:iam::xxxxxxxxxxxx:root"："xxxxxxxxxxxx"。

詳細はUsing a Resource-based Policy to Delegate Access to an Amazon S3 Bucket in Another Accountを参照してください。

"AWS": [ 
       "arn:aws:iam::xxxxxxxxxxxx:root", 
       "arn:aws:iam::xxxxxxxxxxxx:root" 
      ] 

あなたはこのバケットは、それらが保持しているIAMの許可/ポリシーに基づき、口座Bへのアクセスを許可することを言っている：以下の文のxxxxxはアカウントBの口座番号であると仮定すると

Answer 2

アカウントB IAMサービス。

明示的なS3アクセス権を持つすべてのユーザー/インスタンスプロファイル/ポリシーは、アカウントAのこのバケットにアクセスできます。つまり、アカウントBのラムダロールにアタッチしているIAMポリシーが、明示的なS3アクセス権があります。

私はあなたのラムダ関数にS3アクセスを与えることを提案し、これは動作するはずです。

将来、アカウントBのアカウントAのS3バケットに書き込む場合は、バケット所有者フルコントロールaclを入れて、オブジェクトが利用できるようにする必要がありますすべてのアカウント

例：CLIを使用して

： $ AWS s3api入れオブジェクトを--aclバケット所有者 - フルコントロールには、DIR/my_object.txt --key私のテスト・バケットを--bucket --body /path/to/my_object.txt