创建 S3 存储桶时无法验证对 S3 存储桶的访问权限 DRA - FSx为了光泽
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 S3 存储桶时无法验证对 S3 存储桶的访问权限 DRA

从 Amazon FSx 控制台或使用create-data-repository-associationCLI命令(等效API操作DRA)创建数据存储库关联 (CreateDataRepositoryAssociation) 失败,并显示以下错误消息。

Amazon FSx is unable to validate access to the S3 bucket. Ensure the IAM role or user you are using has s3:Get*, s3:List* and s3:PutObject permissions to the S3 bucket prefix.
注意

使用 Amazon FSx 控制台或create-file-systemCLI命令(等效API操作)创建链接到数据存储库(S3 存储桶或前缀)的 Scratch 1、Scratch 2 或 Persitent 1 文件系统时,您也可能会遇到上述错误。CreateFileSystem

要采取的操作

如果 f FSx or Lustre 文件系统与 S3 存储桶位于同一个账户中,则此错误意味着您在创建请求中使用的IAM角色没有访问 S3 存储桶所需的权限。确保该IAM角色具有错误消息中列出的权限。这些权限支持 Amazon f FSx or Lustre 服务相关角色,该角色用于代表您访问指定的 Amazon S3 存储桶。

如果 for Lustre 文件系统与 S3 存储桶位于不同的账户中(跨账户情况),除了确保您使用的IAM角色具有所需的权限外,还应将 S3 存储桶策略配置为允许来自创建 for Lustre 的账户FSx进行访问。FSx以下是存储桶策略示例。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:PutObject", "s3:GetObject", "s3:GetBucketAcl", "s3:GetBucketNotification", "s3:ListBucket", "s3:PutBucketNotification" ], "Resource": [ "arn:aws:s3:::bucket_name", "arn:aws:s3:::bucket_name/*" ], "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::file_system_account_ID:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fs-*" } } } ] }

有关 S3 跨账户存储桶权限的更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的示例 2:桶拥有者授予跨账户桶权限