解决EC2实例访问公共S3存储桶时出现"Access Denied"错误

本文旨在解决从AWS EC2实例访问完全公开的S3存储桶时遇到的"Access Denied"错误。通过检查EC2实例的角色权限，并为其分配具有适当S3访问权限的IAM角色，可以有效地解决此问题。本文将提供详细的步骤和示例，帮助您诊断和修复此类权限问题，确保EC2实例能够顺利访问S3存储桶。

在使用AWS服务时，经常会遇到权限问题，尤其是在尝试从EC2实例访问S3存储桶时。即使存储桶被配置为公开访问，EC2实例仍然可能因为缺少必要的IAM角色权限而无法执行操作，导致"Access Denied"错误。以下是解决此问题的详细步骤：

1. 理解IAM角色与权限

IAM角色是一种AWS身份，可以授予EC2实例或其他AWS资源访问特定AWS服务的权限。与用户不同，角色不与特定的人员关联，而是由需要权限的AWS服务承担。要使EC2实例能够访问S3存储桶，必须为其分配一个具有相应S3权限的IAM角色。

2. 诊断问题：确认EC2实例的角色

首先，需要确认EC2实例当前是否已分配IAM角色。可以通过以下步骤在AWS控制台中查看：

• 导航到EC2控制台。
• 选择出现问题的EC2实例。
• 在"详细信息"选项卡中，查找"IAM角色"部分。

如果未分配任何角色，或者分配的角色不包含访问S3存储桶所需的权限，则需要创建一个新的IAM角色或修改现有角色。

3. 创建或修改IAM角色

以下是创建IAM角色的步骤：

• 导航到IAM控制台。

• 选择"角色"，然后选择"创建角色"。

• 选择"AWS服务"作为受信任的实体类型，然后选择"EC2"。

• 在"权限"部分，搜索并选择适当的S3策略。

  

  Speech Studio

  微软语音服务，提供语音到文本、文本到语音和语音翻译功能。

  下载
  • AmazonS3FullAccess (不推荐用于生产环境): 提供对所有S3存储桶的完全访问权限。仅用于测试或开发环境。
  • 自定义策略 (推荐): 创建自定义策略，仅授予EC2实例访问特定S3存储桶所需的权限。

4. 创建自定义IAM策略 (推荐)

为了遵循最小权限原则，建议创建一个自定义IAM策略，仅授予EC2实例访问特定S3存储桶的权限。以下是一个示例策略，允许对名为"mybucketname"的S3存储桶执行GetObject和PutObject操作：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSpecificS3Actions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::mybucketname",
                "arn:aws:s3:::mybucketname/*"
            ]
        }
    ]
}

将此策略附加到IAM角色。在创建或编辑IAM角色时，选择“创建策略”选项，并将上述JSON代码粘贴到策略编辑器中。

5. 将IAM角色分配给EC2实例

创建或修改IAM角色后，将其分配给EC2实例：

• 导航到EC2控制台。
• 选择出现问题的EC2实例。
• 选择"操作"，然后选择"安全"，再选择"修改IAM角色"。
• 从下拉列表中选择您创建或修改的IAM角色。
• 保存更改。

6. 测试访问

完成上述步骤后，重新运行PHP SDK代码。EC2实例现在应该能够成功访问S3存储桶，而不会出现"Access Denied"错误。

示例代码 (PHP SDK)

require 'vendor/autoload.php';

use Aws\S3\S3Client;
use Aws\S3\Exception\S3Exception;

$s3 = new S3Client([
    'version' => 'latest',
    'region'  => 'eu-west-2',
    'credentials' => [
        'key'    => "YOUR_ACCESS_KEY", // 不推荐在生产环境硬编码凭证，使用IAM角色
        'secret' => "YOUR_SECRET_KEY"  // 不推荐在生产环境硬编码凭证，使用IAM角色
    ]
]);

$bucket = 'mybucketname';
$keyname = 'test_file.txt';

try {
    $result = $s3->putObject([
        'Bucket' => $bucket,
        'Key'    => $keyname,
        'Body'   => 'Hello',
        'ACL'    => 'public-read'
    ]);

    echo $result['ObjectURL'] . PHP_EOL;
} catch (S3Exception $e) {
    echo $e->getMessage() . PHP_EOL;
}

注意事项

• 安全性： 避免使用AmazonS3FullAccess策略，因为它授予对所有S3存储桶的完全访问权限。使用自定义策略，仅授予EC2实例访问特定存储桶所需的权限。
• 凭证管理： 不要在代码中硬编码AWS访问密钥和密钥。使用IAM角色来管理EC2实例的AWS凭证。
• 区域： 确保S3客户端配置中的区域与S3存储桶所在的区域匹配。
• 缓存： IAM角色的更改可能需要几分钟才能生效。如果仍然遇到问题，请稍后重试。
• Bucket Policy与IAM Role: Bucket Policy和IAM Role都可以控制对S3资源的访问，但它们的作用范围不同。Bucket Policy作用于Bucket级别，而IAM Role作用于AWS账户中的用户或服务。两者可以结合使用，以实现更精细的访问控制。

总结

解决EC2实例访问公共S3存储桶时出现的"Access Denied"错误的关键在于正确配置EC2实例的IAM角色。通过创建或修改IAM角色，并为其分配具有适当S3权限的策略，可以确保EC2实例能够顺利访问S3存储桶。同时，遵循最小权限原则，使用自定义策略，并避免在代码中硬编码AWS凭证，可以提高安全性。