11/19/2020

AWS S3 跨帳號權限

工作中遇到問題,常常上網都能找到解答。不過之前跟朋友聊天時發現,有些用英文找得到到解答,中文不一定好找,對某些慣用中文搜尋的人可能就以為無解,多繞冤枉路。所以想到可以多開一個文章分類: [職場] 挨踢技巧,分享一些經驗,希望能幫到一些人,節省一點時間。 

今天熱騰騰的經驗是,我們將 AWS A 帳號的 S3 檔案搬移到另一個 AWS B 帳號後,發現 B 帳號的使用者無法存取。原先以為是 IAM 或是 bucket 的設定問題,直到用兩邊 Admin 帳號操作相同動作,A 帳號可以, B 帳號不行,才確定是檔案權限問題。搜尋了一下,應該是今年的新改變 (參考: Amazon S3加入更多安全與存取控制功能)。用舊的方式直接 sync,會讓檔案複製過去後,擁有者還是 A 帳號,所以 B 帳號沒有權限操作。

解決方式可以參考官方文件: Why can't I access an object that was uploaded to my Amazon S3 bucket by another AWS account? 裡面的教學包含:

  • 如何在搬移時提供新帳號權限
  • 如果搬完了,怎麼修改不用重搬
  • 如果有多帳號會傳到同一個 bucket,如何確保大家都記得提供權限 (require full control)
在找的過程中發現,現在 s3 介面現在也提供跨帳號搬移的操作了。除了整個 bucket 搬移,也可以指定 pre-fix or tag,權限也能透過介面勾選轉移,不一定要再去找 cli 的語法了。

0 comments:

張貼留言

來了就聊兩句吧: