解决EC2实例访问公共S3存储桶时出现“Access Denied”错误

本文旨在帮助开发者解决在使用AWS EC2实例访问完全公开的S3存储桶时遇到的“Access Denied”错误。通过排查IAM角色配置，确保EC2实例具备足够的权限来执行S3操作，从而顺利地与S3存储桶进行交互。

在使用AWS S3存储桶时，经常会遇到从EC2实例访问存储桶出现“Access Denied”错误，即使已经配置了看似正确的存储桶策略和ACL。这种问题通常并非出在存储桶本身，而是与EC2实例的IAM角色配置有关。

问题分析

当你在本地机器上运行代码可以成功访问S3存储桶，但在EC2实例上运行时却出现403 Forbidden错误，这表明问题可能与EC2实例所扮演的IAM角色有关。虽然你已经禁用了所有阻止公共访问的设置，编辑了对象所有权和ACL列表，甚至创建了允许任何人执行任何操作的存储桶策略，但EC2实例仍然可能因为缺少必要的IAM权限而无法访问S3存储桶。

解决方案

解决此问题的关键在于为EC2实例配置一个具有足够权限的IAM角色。IAM角色允许AWS服务（如EC2）代表你执行操作。

步骤：

1. 创建IAM角色： 如果你还没有一个适合的IAM角色，需要在AWS IAM控制台中创建一个新的角色。选择EC2作为该角色将使用的服务。

2. 添加S3权限： 在创建或编辑IAM角色时，需要附加一个策略，授予该角色访问S3存储桶的权限。你可以选择AWS管理的策略，例如AmazonS3FullAccess，它提供对所有S3存储桶的完全访问权限。为了更安全和精细地控制权限，建议创建一个自定义策略，仅授予必要的权限。

   

   AI图像编辑器

   使用文本提示编辑、变换和增强照片

   下载

   • AWS托管策略: AmazonS3FullAccess (不推荐用于生产环境，因为它赋予了过多的权限)

   • 自定义策略示例：

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetObject",
                   "s3:PutObject",
                   "s3:ListBucket"
               ],
               "Resource": [
                   "arn:aws:s3:::your-bucket-name",
                   "arn:aws:s3:::your-bucket-name/*"
               ]
           }
       ]
   }

   将 your-bucket-name 替换为你的实际存储桶名称。此策略允许GetObject, PutObject和ListBucket操作。根据你的应用需求，调整Action列表。

3. 将IAM角色附加到EC2实例： 在AWS EC2控制台中，选择你的EC2实例，然后导航到“操作”->“安全”->“修改IAM角色”。选择你刚刚创建或修改的IAM角色，然后保存更改。

代码示例 (PHP SDK - 假设使用EC2实例的角色进行身份验证):

require 'vendor/autoload.php';

use Aws\S3\S3Client;
use Aws\S3\Exception\S3Exception;

// 注意：这里不再需要提供凭证，因为SDK会自动使用EC2实例的角色
$s3 = new S3Client([
    'version' => 'latest',
    'region'  => 'eu-west-2',
]);

$bucket = 'your-bucket-name';
$keyname = 'test_file.txt';

try {
    $result = $s3->putObject([
        'Bucket' => $bucket,
        'Key'    => $keyname,
        'Body'   => 'Hello from EC2',
        'ACL'    => 'public-read' // 如果需要公开读取
    ]);

    echo $result['ObjectURL'] . PHP_EOL;
} catch (S3Exception $e) {
    echo $e->getMessage() . PHP_EOL;
}

注意事项：

• 最小权限原则： 始终遵循最小权限原则，仅授予EC2实例所需的S3权限。避免使用AmazonS3FullAccess等过于宽泛的策略，尤其是在生产环境中。
• IAM角色传播： IAM角色的更改可能需要几分钟才能生效。在修改角色后，如果仍然遇到问题，请稍等片刻再进行测试。
• AWS SDK配置： 确保你的AWS SDK配置正确。如果使用IAM角色进行身份验证，通常不需要在代码中显式提供凭证。SDK会自动从EC2实例的元数据中获取凭证。
• 存储桶策略和ACL： 尽管IAM角色是主要的访问控制机制，但仍然需要确保存储桶策略和ACL不会阻止EC2实例的访问。如果存储桶策略包含任何显式拒绝EC2实例访问的规则，则会导致“Access Denied”错误。

总结

当EC2实例无法访问公共S3存储桶时，首先应该检查EC2实例的IAM角色配置。确保该角色具有足够的权限来执行所需的S3操作，并遵循最小权限原则。通过正确配置IAM角色，你可以解决“Access Denied”错误，并使EC2实例能够安全地与S3存储桶进行交互。