為什麼我嘗試在 Amazon S3 中上傳檔案時收到「403 Forbidden」錯誤？

2 分的閱讀內容

我正在嘗試透過 Amazon S3 主控台將檔案上傳到我的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。但是，我收到「403 Forbidden」錯誤。

簡短描述

發生「403 Forbidden」錯誤的原因如下：

缺少 s3:PutObject 新增物件或 s3:PutObjectAcl 修改物件存取控制清單 (ACL) 的權限。
您沒有 AWS Key Management Service (KMS) 金鑰的使用權限。
儲存貯體政策中有明確的拒絕陳述式。
Amazon S3 封鎖公開存取已開啟。
AWS Organizations 服務控制政策不允許存取 Amazon S3。

解決方法

檢查您對 s3:PutObject 或 s3:PutObjectAcl 的權限

請遵循下列步驟：

開啟 AWS Identity and Access Management (IAM) 主控台。
瀏覽至用來存取儲存貯體的身分識別，例如，使用者或角色。選擇身分識別的名稱。
選擇 Permissions (權限) 索引標籤，然後展開每個政策以檢視其 JSON 政策文件。
在 JSON 政策文件中，搜尋與 Amazon S3 存取相關的政策。然後，確認您對儲存貯體具有 s3:PutObject 或 s3:PutObjectAcl 動作的權限。

要求使用 AWS KMS key 的權限

若要上傳使用 AWS KMS 加密的物件，您必須擁有執行 AWS KMS 動作的權限。您必須至少能夠執行 kms:Decrypt and kms:GenerateDataKey 動作。

**重要：**如果您將物件上傳到其他 AWS 帳戶中的儲存貯體，則無法使用 AWS 受管金鑰 aws/S3 作為預設加密金鑰。這是因為您無法修改 AWS 受管金鑰政策。

檢查儲存貯體政策是否有明確的拒絕陳述式

請遵循下列步驟：

開啟 Amazon S3 主控台。
從儲存貯體清單中，開啟您要上傳檔案的目標儲存貯體。
選擇 Permissions (權限) 索引標籤。
選擇「儲存貯體政策」。
搜尋 "Effect": "Deny" 的陳述式。
檢閱這些陳述式，並確保它們不會阻止上傳到儲存貯體。

**重要：**在您使用 "Effect": "Deny" 儲存儲存貯體政策之前，請務必檢查是否有任何會拒絕存取該 S3 儲存貯體的陳述式。如果您遭到封鎖，請參閱如何在不小心拒絕所有人存取後重新取得對 Amazon S3 的存取權？

下列範例陳述式明確拒絕存取 example-bucket 上的 s3:PutObject，除非上傳請求使用其 ARN 符合 arn:aws:kms:us-east-1:111122223333:key 的 AWS KMS key 加密物件：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ExampleStmt",
      "Action": [
        "s3:PutObject"
      ],
      "Effect": "Deny",
      "Resource": "arn:aws:s3:::example-bucket/*",
      "Condition": {
        "StringNotLikeIfExists": {
          "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-1:111122223333:key/*"
        }
      },
      "Principal": "*"
    }
  ]
}