排查 Amazon S3 中的拒绝访问（403 Forbidden）错误

• 当策略包含特定的 Amazon 操作的 Deny 语句时，将发生显式拒绝。

• 当没有适用的 Deny 语句且没有适用的 Allow 语句时，会发生隐式拒绝。

• BlockPublicAcls – 此设置适用于 PutBucketAcl、PutObjectAcl、PutObject、CreateBucket、CopyObject 和 POST Object 请求。BlockPublicAcls 设置会导致以下行为：

  • 如果指定的访问控制列表（ACL）为公有，PutBucketAcl 和 PutObjectAcl 调用将失败。

  • 如果请求包含公有 ACL，则 PutObject 调用失败。

  • 如果将此设置应用于某个账户，则当请求包含公有 ACL 时，CreateBucket 调用将失败，并返回 HTTP 400 (Bad Request) 响应。

  例如，当对 CopyObject 请求的访问因 BlockPublicAcls 设置而被拒绝时，您将收到以下消息：

  An error occurred (AccessDenied) when calling the CopyObject operation: 
  User: arn:aws:sts::123456789012:user/MaryMajor is not authorized to 
  perform: s3:CopyObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" 
  because public access control lists (ACLs) are blocked by the BlockPublicAcls block 
  public access setting.

• IgnorePublicAcls – IgnorePublicAcls 设置会使 Amazon S3 忽略存储桶及其包含的任何对象上的所有公有 ACL。如果您的请求的权限仅由公共 ACL 授予，则 IgnorePublicAcls 设置会拒绝该请求。

  由 IgnorePublicAcls 设置导致的任何拒绝都是隐式的。例如，如果 IgnorePublicAcls 因公有 ACL 而拒绝 GetObject 请求，您将收到以下消息：

  User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform: 
  s3:GetObject because no resource-based policy allows the s3:GetObject action

• BlockPublicPolicy – 此设置适用于 PutBucketPolicy 和 PutAccessPointPolicy 请求。

  为存储桶设置 BlockPublicPolicy 将导致 Amazon S3 在指定的存储桶策略支持公共访问权限时拒绝对 PutBucketPolicy 的调用。如果指定的策略支持公共访问权限，则此设置也会导致 Amazon S3 针对存储桶的所有相同账户接入点拒绝对 PutAccessPointPolicy 的调用。

  如果（为接入点或底层存储桶）指定的策略支持公共访问权限，则为接入点设置 BlockPublicPolicy 会导致 Amazon S3 拒绝通过该接入点对 PutAccessPointPolicy 和 PutBucketPolicy 进行的调用。

  例如，当对 PutBucketPolicy 请求的访问因 BlockPublicPolicy 设置而被拒绝时，您将收到以下消息：

  An error occurred (AccessDenied) when calling the PutBucketPolicy operation: 
  User: arn:aws:sts::123456789012:user/MaryMajor is not authorized to 
  perform: s3:PutBucketPolicy on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" 
  because public policies are blocked by the BlockPublicPolicy block public 
  access setting.

• RestrictPublicBuckets – RestrictPublicBuckets 设置会将使用公有策略对接入点或存储桶的访问权限限制为仅该存储桶拥有者账户和接入点拥有者账户中的 Amazon Web Services 服务主体和授权用户。此设置会阻止对接入点或存储桶的所有跨账户访问（Amazon Web Services 服务主体的访问除外），但仍支持该账户内的用户管理接入点或存储桶。此设置还拒绝所有匿名（或未签名的）调用。

  由 RestrictPublicBuckets 设置导致的任何拒绝都是显式的。例如，如果 RestrictPublicBuckets 因公有存储桶或接入点策略而拒绝 GetObject 请求，您将收到以下消息：

  User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform: 
  s3:GetObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" with 
  an explicit deny in a resource-based policy

• 对于同账户访问，无论是在桶策略还是 IAM 用户策略中，都不得针对您尝试向其授予权限的请求者使用显式 Deny 语句。如果您想仅使用桶策略和 IAM 用户策略授予权限，则其中一个策略中必须至少有一条显式 Allow 语句。

• 对于跨账户访问，无论是在存储桶策略还是 IAM 用户策略中，都不得针对您尝试向其授予权限的请求者使用显式 Deny 语句。要仅使用存储桶策略和 IAM 用户策略授予跨账户权限，请确保请求者的存储桶策略和 IAM 用户策略都包含显式 Allow 语句。

• 确定请求者。如果是未签名的请求，则它是没有 IAM 用户策略的匿名请求。如果这是使用预签名 URL 的请求，则用户策略会与对请求进行签名的 IAM 用户或角色的策略相同。

• 验证您使用的是正确的 IAM 用户或角色。您可以通过检查 Amazon Web Services Management Console的右上角或使用 aws sts get-caller-identity 命令来验证您的 IAM 用户或角色。

• 检查与 IAM 用户或角色相关的 IAM policy。您可以使用以下方法之一：

  • 使用 IAM policy simulator 测试 IAM policy。

  • 查看不同的 IAM policy 类型。

• 如果需要，编辑您的 IAM 用户策略。

• 查看以下显式拒绝或允许访问的策略示例：

  • 显式允许 IAM 用户策略：IAM：允许和拒绝以编程方式和在控制台中访问多个服务

  • 显式允许桶策略：授予多个账户上传对象或设置对象 ACL 以进行公共访问的权限

  • 显式拒绝 IAM 用户策略：Amazon：根据请求的 Amazon Web Services 区域拒绝访问 Amazon

  • 显式拒绝桶策略：要求对写入桶的所有对象使用 SSE-KMS

• 如果 Amazon S3 拒绝了 LIST、PUT 对象、GetBucketAcl 或 PutBucketAcl 请求，请查看您的桶的 ACL 权限。

  注意

  您无法使用存储桶 ACL 设置授予 GET 对象权限。

• 如果 Amazon S3 拒绝了对 S3 对象的 GET 请求或拒绝了 PutObjectAcl 请求，请查看该对象的 ACL 权限。

  重要

  如果拥有该对象的账户与拥有该桶的账户不同，则对该对象的访问权限不受桶策略控制。

• 禁用 ACL（推荐） – 此方法适用于所有对象，可由桶拥有者执行。这种方法自动向桶拥有者授予对桶中每个对象的所有权和完全控制权。在实施此方法之前，请检查禁用 ACL 的先决条件。有关如何将您的桶设置为强制桶拥有者（推荐）模式的信息，请参阅在现有桶上设置对象所有权。

  重要

  为防止拒绝访问（403 禁止）错误，请务必在禁用 ACL 之前将 ACL 权限迁移到桶策略。有关更多信息，请参阅从 ACL 权限迁移的桶策略示例。

• 将对象拥有者更改为桶拥有者 - 此方法可以应用于单个对象，但只有对象拥有者（或具有相应权限的用户）才能更改对象的所有权。可能会收取额外的 PUT 费用。（有关更多信息，请参阅 Amazon S3 定价。） 此方法向桶拥有者授予对象的完全所有权，允许桶拥有者通过桶策略控制对于对象的访问权限。

  要更改对象的所有权，请执行以下操作之一：

  • 您（桶拥有者）可以将对象复制回桶。

  • 您可以将桶的对象所有权设置更改为首选桶拥有者。如果禁用版本控制，则桶中的对象将被覆盖。如果启用了版本控制，则同一对象的重复版本将出现在桶中，而桶拥有者可以将生命周期规则设置为过期。有关如何更改对象所有权设置的说明，请参阅为现有存储桶设置对象所有权。

    注意

    当您将对象所有权设置更新为首选桶拥有者时，该设置仅适用于上传到桶的新对象。

  • 您可以让对象拥有者使用 bucket-owner-full-control 标准对象 ACL 再次上传对象。

  注意

  对于跨账户上传，您还可以在桶策略中要求使用 bucket-owner-full-control 标准对象 ACL。有关桶策略示例，请参阅在授予上传对象的跨账户权限的同时，确保桶拥有者拥有完全控制权。

• 将对象编写者保持为对象拥有者 - 此方法不会更改对象拥有者，但它允许您单独授予对于对象的访问权限。要授予对于对象的访问权限，您必须拥有该对象的 PutObjectAcl 权限。然后，要修复“拒绝访问（403 禁止）”错误，请将请求者添加为被授予者，以访问对象的 ACL 中的对象。有关更多信息，请参阅 配置 ACL。

• 具有 Amazon S3 托管密钥的服务器端加密（SSE-S3）

• 具有 Amazon Key Management Service（Amazon KMS）密钥的服务器端加密（SSE-KMS）

• 具有客户提供密钥的服务器端加密（SSE-C）

• SSE-S3 - 不需要额外的权限。

• SSE-KMS（使用客户自主管理型密钥） - 要上传对象，需要针对 Amazon KMS key 的 kms:GenerateDataKey 权限。要下载对象和执行对象的分段上传，需要针对 KMS 密钥的 kms:Decrypt 权限。

• SSE-KMS（具有 Amazon 托管式密钥）– 请求者必须来自拥有 aws/s3 KMS 密钥的同一个账户。请求者还必须具有正确的 Amazon S3 权限才能访问该对象。

• SSE-C（具有客户提供的密钥） - 无需其他权限。您可以配置桶策略，以要求和限制具有客户提供的加密密钥的服务器端加密来加密桶中的对象。

• 如果对象版本受合规性保留模式保护，则无法将其永久删除。来自任何请求者（包括 Amazon Web Services 账户根用户）的永久 DELETE 请求都将导致拒绝访问（403 禁止）错误。另请注意，当您对于受合规性保留模式保护的对象提交 DELETE 请求时，Amazon S3 会为该对象创建删除标记。

• 如果对象版本受监管保留模式保护并且您具有 s3:BypassGovernanceRetention 权限，则可以绕过此保护并永久删除该版本。有关更多信息，请参阅绕过监管模式。

• 如果对象版本受法定保留保护，则永久 DELETE 请求可能会导致拒绝访问（403 禁止）错误。要永久删除对象版本，必须解除对于对象版本的法定保留。要解除法定保留，您必须具有 s3:PutObjectLegalHold 权限。有关解除法定保留的更多信息，请参阅配置 S3 对象锁定。

• 由于 VPC 端点策略而拒绝访问 – 隐式拒绝

• 由于 VPC 端点策略而拒绝访问 – 显式拒绝

• 《Amazon PrivateLink 指南》中的 Control access to VPC endpoints by using endpoint policies。

• 由于服务控制策略而拒绝访问 – 隐式拒绝

• 由于服务控制策略而拒绝访问 – 显式拒绝

• 《Amazon Organizations 用户指南》中的 Listing all policies

• 接入点的配置

• 用于接入点的 IAM 用户策略

• 用于管理或配置跨账户接入点的桶策略

接入点配置和策略

• 创建接入点时，可以选择将互联网或 VPC 指定为网络来源。如果网络来源设置为仅限 VPC，Amazon S3 将拒绝向接入点发出的任何并非源自指定 VPC 的请求。要检查接入点的网络来源，请参阅创建限制到 Virtual Private Cloud 的接入点。

• 使用接入点，您还可以配置自定义的屏蔽公共访问权限设置，其工作原理与桶或账户级别的屏蔽公共访问权限设置类似。要查看您的自定义屏蔽公共访问权限设置，请参阅管理接入点的公有访问。

• 要使用接入点向 Amazon S3 发出成功的请求，请确保请求者拥有必要的 IAM 权限。有关更多信息，请参阅 配置使用接入点的 IAM 策略。

• 如果请求涉及跨账户接入点，请确保桶拥有者已更新桶策略，以授权来自接入点的请求。有关更多信息，请参阅 授予跨账户接入点的权限。