【以下的问题经过翻译处理】 当我在一个S3存储桶上运行Glue Crawler时,出现以下错误:
ERROR : Not all read errors will be logged. com.amazonaws.services.s3.model.AmazonS3Exception: The ciphertext refers to a customer master key that does not exist, does not exist in this region, or you are not allowed to access. (Service: Amazon S3; Status Code: 403; Error Code: AccessDenied;
)
S3存储桶启用默认的“Amazon S3-managed keys (SSE-S3)”加密,而不是来自KMS的CMK。
Glue Crawler拥有由IAM创建的角色:AWSGlueServiceRole,以及托管策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::<bucket-name>/*"
]
}
]
}
之前也遇到过403错误,通过向特定桶添加GetObject权限解决了问题,这次我也已经添加了。
我没有使用VPC端点,这是这篇AWS帮助文章中列出的可能问题之一。而且我没有打开Requester Pays。 它都在同一个AWS帐户中。 默认的私有桶设置已经检查,没有桶策略。