Ongoing service disruptions

For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?

Como soluciono erros Access Denied quando usuários do IAM de outra conta da AWS tentam acessar meu bucket do Amazon S3?

8 minuto de leitura

Minha política de bucket do Amazon Simple Storage Service (Amazon S3) concede acesso total a outra conta da AWS. No entanto, quando usuários do AWS Identity and Access Management (AWS IAM) da outra conta tentam acessar meu bucket, eles recebem uma mensagem de erro "Access Denied".

Breve descrição

Se sua política de bucket já concede acesso a outra conta, os usuários entre contas podem receber mensagens de erro de Access Denied pelos seguintes motivos:

A política do IAM do usuário não concede acesso ao bucket.
O objeto foi criptografado com o AWS Key Management Service (AWS KMS) e o usuário não tem acesso à chave do AWS KMS.
Uma declaração Deny na política de bucket ou na política do IAM está bloqueando o acesso do usuário.
A política do endpoint da Amazon Virtual Private Cloud (Amazon VPC) está bloqueando o acesso ao bucket.
A política de controle de serviços (SCP) do AWS Organizations está bloqueando o acesso ao bucket.
O objeto não pertence à conta proprietária do bucket.
Você ativou o Requester Pays para o bucket do Amazon S3.
Você aprovou uma política de sessão que está bloqueando o acesso ao bucket.

Resolução

Observação: se você receber mensagens de erro ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de problemas da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

A política do IAM do usuário não concede acesso ao bucket

Para acesso entre contas, certifique-se de conceder acesso ao bucket na política do IAM na conta dos usuários e à política de bucket na sua conta.

Para adicionar permissões de bucket à política do IAM na conta dos usuários, conclua as seguintes etapas:

Abra o console do IAM.
No painel de navegação, selecione os usuários ou perfis do IAM que não podem acessar o bucket.
Em Políticas de permissões, expanda cada política para ver seu documento de política JSON.
Nos documentos de política JSON que contêm o nome do bucket, confirme se as políticas permitem as ações corretas do S3 no bucket.

Se o usuário ou o perfil do IAM não conceder acesso ao bucket, adicione uma política que conceda as permissões corretas.
O exemplo de política do IAM a seguir concede ao usuário acesso para baixar objetos na solicitação GetObject do DOC-EXAMPLE-BUCKET:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExampleStmt",
            "Action": "s3:GetObject",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ]
        }
    ]
}

Observação: se você usa perfis de instância ou assume um perfil, certifique-se de que sua política tenha as permissões corretas.

Você criptografou o objeto com o AWS KMS

Se a política do IAM e a política de bucket concederem acesso entre contas, verifique a criptografia padrão no bucket com o AWS KMS. Ou verifique as propriedades do objeto na criptografia do AWS KMS. Se você criptografou o objeto com uma chave do KMS, o usuário também deve ter permissões para usar a chave.

Para conceder a um usuário do IAM as permissões para baixar e fazer upload em um bucket e usar a chave do AWS KMS, conclua as seguintes etapas:

Edite a política de chave do KMS para adicionar a seguinte declaração:

{
    "Sid": "ExampleStmt",
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:user/Jane"
    },
    "Resource": "*"
}

Observação: substitua o ARN de exemplo pelo ARN da sua entidade principal.

Se a chave do AWS KMS pertencer à mesma conta do usuário do IAM, você não precisa atualizar a política de chave. Se a chave do AWS KMS pertencer à sua conta, você deve atualizar as permissões do usuário do IAM para adicionar a seguinte declaração de política do IAM:

{
    "Sid": "KMSAccess",
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Effect": "Allow",
    "Resource": "arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
}

Observação: substitua o ARN da chave do KMS de exemplo pelo ARN da sua chave do KMS.

Para obter mais informações, consulte Por que usuários de várias contas recebem erros de acesso negado ("Access Denied") quando acessam meus objetos do Amazon S3 que eu criptografei com uma chave gerenciada pelo cliente do AWS KMS?

Uma declaração Deny na política bloqueia o acesso dos usuários

Verifique a política de bucket e as políticas do IAM dos usuários para ver se há instruções que neguem explicitamente o acesso do usuário ao bucket.

Para verificar sua política de bucket, conclua as etapas a seguir:

Abra o console do Amazon S3.
Na lista de buckets, selecione o bucket com a política que você deseja verificar.
Clique na guia Permissões.
Na política de bucket, verifique as instruções com "Effect": "Deny".
Modifique a política de bucket para remover qualquer instrução "Effect": "Deny" que nega o acesso do usuário ao bucket.

Para verificar as políticas de IAM dos usuários, conclua as seguintes etapas:

Abra o console do IAM.
No painel de navegação, selecione os usuários ou perfis do IAM que não podem acessar o bucket.
Em Políticas de permissões, expanda cada política para visualizar os documentos de política JSON.
Nos documentos de política JSON relacionados ao bucket do S3, verifique se há instruções que contenham "Effect": "Deny".
Modifique as políticas de permissões do IAM do usuário para remover instruções "Effect": "Deny" que nega o acesso do usuário ao bucket.

A política do endpoint da VPC bloqueia o acesso ao bucket

Se os usuários acessarem o bucket com uma instância do Amazon Elastic Compute Cloud (Amazon EC2) por meio de um endpoint da VPC, verifique a política do endpoint da VPC. Confirme se a política do endpoint da VPC inclui as permissões corretas para acessar o bucket do S3.

O exemplo de política do endpoint da VPC a seguir permite acesso a DOC-EXAMPLE-BUCKET:

{
    "Id": "Policy1234567890123",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1234567890123",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ],
            "Principal": "*"
        }
    ]
}

Atenção: o elemento "Principal": "*" concede acesso ao bucket a todos que usam o endpoint da VPC. Certifique-se de restringir o escopo do valor de Principal conforme apropriado para seu caso de uso.

A SCP do Organizations bloqueia o acesso ao bucket

Se a conta do usuário usar Organizations, verifique se há instruções Negar nos SCPs que bloqueiam o acesso ao bucket.

O exemplo de política a seguir nega explicitamente o acesso ao Amazon S3:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": "*"
        }
    ]
}

O objeto não pertence à conta proprietária do bucket

Por padrão, a conta que carrega o objeto é proprietária do objeto, mesmo quando outra conta é proprietária do bucket. As permissões do bucket não se aplicam automaticamente a um objeto de propriedade de uma conta diferente.

Para resolver os erros Access Denied da propriedade de objetos do S3, use as seguintes práticas recomendadas:

Aplique a configuração imposta pelo proprietário do bucket para propriedade de objetos do S3 para desativar as listas de controle de acesso (ACLs) em seus buckets.
Se você não quiser desativar as ACLs para impor a propriedade de objeto em objetos novos, aplique a configuração de preferência do proprietário do bucket. Certifique-se de atualizar sua política de bucket para exigir a ACL pré-configurada bucket-owner-full-control em todas as solicitações PUT do seu bucket. O proprietário do objeto pode executar o seguinte put-object-acl para conceder acesso ao proprietário do bucket:
```
aws s3api put-object-acl --bucket examplebucket --key keyname --acl bucket-owner-full-control
```
Observação: para acessar o objeto, o proprietário do objeto deve conceder acesso explicitamente ao proprietário do bucket. Use a conta do proprietário do objeto para executar o comando anterior.

Você ativou o Requester Pays

Se você ativou o Requester Pays em seu bucket, os usuários de outras contas devem especificar o parâmetro x-amz-request-payer.

Os usuários devem realizar as seguintes ações:

Em solicitações DELETE, GET, HEAD, POST e PUT, inclua x-amz-request-payer : requester no cabeçalho.
Em URLs assinados, inclua x-amz-request-payer=requester na solicitação.

Em comandos da AWS CLI, inclua o parâmetro --request-payer:

aws s3 cp exampleobject.jpg s3://DOC-EXAMPLE-BUCKET/exampleobject.jpg --request-payer requester

Uma política de sessão bloqueou o acesso ao bucket

Certifique-se de que a política de sessão que você aprovou não bloqueie o acesso ao bucket do S3.

Informações relacionadas

Como solucionar erros 403 Access Denied do Amazon S3?

Um usuário com permissão para adicionar objetos ao meu bucket do Amazon S3 está recebendo erros de acesso negado. Por que isso acontece?

Tópicos: Storage
Tags: Amazon Simple Storage Service
Idioma: Português

AWS OFICIALAtualizada há um ano

Sem comentários

Conteúdo relevante

Erro em restauração de banco do S3 para o RDS SQL Server entre contas - "Access Denied" em Restore Cross-Account
Resposta aceita
Rafael Pinheiro
feita há 5 meses
Stardew Valley APK (Mobile Android) Problema de acesso público e CORS no bucket S3
entrenamne
feita há 3 meses
ValidationException: Operation not allowed when invoking Amazon Bedrock model in Playground
Resposta aceita
leo
feita há 5 meses
Bug na exclusão de usuário IAM
Leonardo Akio
feita há 8 meses
Acesso de novos usuarios ao Amazon S3
Kleber FIleno
feita há um ano
Por que usuários de várias contas recebem erros de acesso negado ("Access Denied") quando acessam meus objetos do Amazon S3 que eu criptografei com uma chave do AWS KMS gerenciada pelo cliente?
AWS OFICIALAtualizada há 5 meses
Um usuário com permissão para adicionar objetos ao meu bucket do Amazon S3 está recebendo erros de acesso negado. Por que isso acontece?
AWS OFICIALAtualizada há 2 anos
Como posso conceder a um usuário em outra conta da AWS o acesso para fazer upload de objetos para o meu bucket do Amazon S3?
AWS OFICIALAtualizada há 2 anos
Como soluciono erros “Access denied” para operações de cópia entre contas no AWS Backup?
AWS OFICIALAtualizada há 4 meses
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 7 meses