ECS Fargate任务无法访问另一个帐户中的s3

如何解决ECS Fargate任务无法访问另一个帐户中的s3

我的“ AccountA”中有一个计划的ECS Fargate任务正在运行。该任务需要访问另一个aws帐户“ AccountB”中的s3存储桶。

AccountA中的ECS任务承担角色“ AccountA_ECSTaskRole”。 我已经在AccountB中创建了一个角色“ AccountB_S3AccessBucketRole”,以允许IAM角色“ AccountA_ECSTaskRole”访问AccountB中的S3存储桶。

AccountB_S3AccessBucketRole策略如下:

{
"Version": "2012-10-17","Statement": [
    {
            "Action": [
                    "s3:ListBucket","s3:GetBucketLocation"
            ],"Effect": "Allow","Resource": "arn:aws:s3:::ACCOUNTB_BUCKET_NAME"
    },{
            "Effect": "Allow","Action": [
                    "s3:GetObject","s3:PutObject"
            ],"Resource": "arn:aws:s3:::ACCOUNTB_BUCKET_NAME/*"
    }
  ]
}

承担角色政策:

{
"Version": "2012-10-17","Statement": [
  {
    "Effect": "Allow","Action": "sts:AssumeRole","Principal": {
      "AWS": "AccountA_ECSTaskRole_ARN"
    }
  }  
]
}

我的任务是运行aws s3 cp myfiletocopy s3://ACCOUNTB_BUCKET_NAME/的Docker容器。 我在任务定义中将taskRoleArn指定为AccountA_ECSTaskRole_ARN。 ECS代理似乎在我的容器中正确设置了AWS_CONTAINER_CREDENTIALS_RELATIVE_URI环境变量,因为我可以回显它。 还是我得到:调用PutObject操作时发生错误(AccessDenied):访问被拒绝

解决方法

在此steps中,我看到您缺少sts:AssumeRole操作的“资源”属性。

,

我通过为ACCOUNTB_BUCKET_NAME(而非角色)设置存储区策略来使其正常工作,如下所示:

{
"Version": "2012-10-17","Statement": [
    {
        "Action": [
            "s3:ListBucket","s3:GetBucketLocation"
        ],"Principal": {
            "AWS": "AccountA_ECSTaskRole_ARN"
         },"Effect": "Allow","Resource": "arn:aws:s3:::ACCOUNTB_BUCKET_NAME"
    },{
        "Effect": "Allow","Principal": {
            "AWS": "AccountA_ECSTaskRole_ARN"
        },"Action": [
            "s3:GetObject","s3:PutObject"
        ],"Resource": "arn:aws:s3:::ACCOUNTB_BUCKET_NAME/*"
    }
]
}

并设置AccountA_ECSTaskRole以访问ACCOUNTB_BUCKET_NAME:

{
  "Version": "2012-10-17","Statement": [
        {
            "Action": [
                    "s3:ListBucket","s3:GetBucketLocation"
            ],"Resource": "arn:aws:s3:::ACCOUNTB_BUCKET_NAME"
        },{
            "Effect": "Allow","Action": [
                    "s3:GetObject","s3:PutObject"
            ],"Resource": "arn:aws:s3:::ACCOUNTB_BUCKET_NAME/*"
        }
  ]
}

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐


Selenium Web驱动程序和Java。元素在(x,y)点处不可单击。其他元素将获得点击?
Python-如何使用点“。” 访问字典成员?
Java 字符串是不可变的。到底是什么意思?
Java中的“ final”关键字如何工作?(我仍然可以修改对象。)
“loop:”在Java代码中。这是什么,为什么要编译?
java.lang.ClassNotFoundException:sun.jdbc.odbc.JdbcOdbcDriver发生异常。为什么?
这是用Java进行XML解析的最佳库。
Java的PriorityQueue的内置迭代器不会以任何特定顺序遍历数据结构。为什么?
如何在Java中聆听按键时移动图像。
Java“Program to an interface”。这是什么意思?
Java在半透明框架/面板/组件上重新绘画。
Java“ Class.forName()”和“ Class.forName()。newInstance()”之间有什么区别?
在此环境中不提供编译器。也许是在JRE而不是JDK上运行?
Java用相同的方法在一个类中实现两个接口。哪种接口方法被覆盖?
Java 什么是Runtime.getRuntime()。totalMemory()和freeMemory()?
java.library.path中的java.lang.UnsatisfiedLinkError否*****。dll
JavaFX“位置是必需的。” 即使在同一包装中
Java 导入两个具有相同名称的类。怎么处理?
Java 是否应该在HttpServletResponse.getOutputStream()/。getWriter()上调用.close()?
Java RegEx元字符(。)和普通点?