创建数据存储库关联时,无法验证对 S3 存储桶的访问权限 - FSx for Lustre
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建数据存储库关联时,无法验证对 S3 存储桶的访问权限

从 Amazon FSx 控制台创建数据存储库关联 (DRA) 或使用create-data-repository-associationCLI 命令 (CreateDataRepositoryAssociation是等效的 API 操作)失败,并显示如下错误消息。

Amazon FSx is unable to validate access to the S3 bucket. Ensure the IAM role or user you are using has s3:Get*, s3:List* and s3:PutObject permissions to the S3 bucket prefix.
注意

使用 Amazon FSx 控制台创建链接到数据存储库(S3 存储桶或前缀)的 Scratch 1、Scratch 2 或 Persistent 1 文件系统时,您也可能会收到上述错误create-file-systemCLI 命令 (CreateFileSystem是等效的 API 操作)。

要采取的操作

如果 FSx for Lustre 文件系统与 S3 存储桶位于同一账户中,则此错误表示您用于创建请求的 IAM 角色没有访问 S3 存储桶所需的权限。确保 IAM 角色具有在错误消息中列出的权限。这些权限支持 Amazon FSx for Lustre 服务相关角色,该角色用于代表您访问指定的 Amazon S3 存储桶。

如果 FSx for Lustre 文件系统与 S3 存储桶位于不同的账户中(跨账户案例),除了确保您使用的 IAM 角色具有所需的权限外,还应将 S3 存储桶策略配置为允许从创建 FSx for Lustre 的账户进行访问。以下是存储桶策略,

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::file_system_account_ID:root" }, "Action": "s3:*", "Resource": [ "arn:aws:s3:::bucket_name", "arn:aws:s3:::bucket_name/*" ] } ] }

有关 S3 跨账户存储桶权限的更多信息,请参阅。示例 2:存储桶拥有者授予跨账户存储桶权限中的Amazon Simple Service.