创建 DRA 时无法验证对 S3 存储桶的访问权限 - FSx for Lustre
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 DRA 时无法验证对 S3 存储桶的访问权限

从 Amazon FSx 控制台或使用 CLI 命令(等效的 AP create-data-repository-association I 操作)创建数据存储库关联 (CreateDataRepositoryAssociationDRA) 失败,并显示以下错误消息。

Amazon FSx is unable to validate access to the S3 bucket. Ensure the IAM role or user
you are using has s3:Get*, s3:List* and s3:PutObject permissions to the S3 bucket prefix.
注意

使用 Amazon FSx 控制台或 CLI 命令(等效的 AP create-file-system I 操作)创建链接到数据存储库(S3 存储桶或前缀)的 Scratch 1、Scratch 2 或 Persitent 1 文件系统时,您也可能会遇到上述错误。CreateFileSystem

要采取的操作

如果 FSx for Lustre 文件系统与 S3 存储桶位于同一账户,则此错误表示您在创建请求中使用的 IAM 角色没有访问 S3 存储桶所需的权限。确保 IAM 角色具有错误消息中列出的权限。这些权限支持 Amazon FSx for Lustre 服务相关角色,该角色用于代表您访问指定的 Amazon S3 存储桶。

如果 FSx for Lustre 文件系统与 S3 存储桶位于不同账户(跨账户情况),除了确保您使用的 IAM 角色具有所需的权限外,还应将 S3 存储桶策略配置为允许从创建 FSx for Lustre 的账户访问。以下是存储桶策略示例。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetBucketAcl",
                "s3:GetBucketNotification",
                "s3:ListBucket",
                "s3:PutBucketNotification"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name",
                "arn:aws:s3:::bucket_name/*"
            ],
            "Condition": {
                "StringLike": {     
                    "aws:PrincipalArn": [
                        "arn:aws:iam::file_system_account_ID:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fs-*"
                }
            }
        }
    ]
}

有关 S3 跨账户存储桶权限的更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的示例 2:桶拥有者授予跨账户桶权限