Amazon S3文件权限，从其他帐户复制时访问被拒绝

Question

我有一组视频文件从一个AWS Bucket从另一个帐户复制到我自己的存储桶中的帐户。

当我尝试将所有文​​件公开时，我遇到了所有收到拒绝访问错误的文件的问题。

具体来说，我登录到我的AWS账户，进入S3，深入查看文件夹结构以找到其中一个视频文件。

当我看着这个特定文件时，这些文件的权限选项卡没有显示任何分配给任何人的权限。没有用户，组或系统权限已分配。

在权限选项卡的底部，我看到一个小框，上面写着“Error：Access Denied”。我无法改变有关文件的任何内容。我无法添加元数据。我无法将用户添加到该文件。我无法将文件公开。

有没有一种方法可以获得这些文件的控制权，以便我可以将它们公开？有超过15,000个文件/大约60GB的文件。我想避免下载并重新上传所有文件。

从这里的人们的一些帮助和建议我已经尝试了以下。我在我的存储桶中创建了一个名为“媒体”的新文件夹。

我试过这个命令：

aws s3 cp s3://mybucket/2014/09/17/thumb.jpg s3://mybucket/media --grants read=uri=http://acs.amazonaws.com/groups/global/AllUsers full=emailaddress=my_aws_account_email_address 

我调用HeadObject操作时收到一个致命错误403：禁止。

Answer 1

一个非常有趣的难题！幸运的是，有一个解决方案。

首先，回顾一下：

• 铲斗甲在帐户A
• 铲斗乙帐户B
• 用户在帐户A拷贝对象到铲斗B（已授予适当的权限这样做）在桶乙
• 对象仍属于A帐户，无法通过B帐户来访问

我设法重现了这一点，并且可以确认帐户B中的用户无法访问该文件 - 甚至连帐户B中的root用户也无法访问该文件！

幸运的是，事情可以修复。 AWS Command-Line Interface (CLI)中的aws s3 cp命令可以在复制到相同名称时更新文件权限。然而，要触发这个，你还必须更新其他东西，否则你得到这个错误：

This copy request is illegal because it is trying to copy an object to itself without changing the object's metadata, storage class, website redirect location or encryption attributes.

因此，权限可以使用此命令更新：

aws s3 cp s3://my-bucket/ s3://my-bucket/ --recursive --acl bucket-owner-full-control --metadata "One=Two" 

• 必须由运行帐户具有对象访问权限的用户（例如，最初将对象复制到桶B的用户）
• 元数据内容不重要，但需要强制更新
• --acl bucket-owner-full-control将权限授予帐户B这样你就可以使用对象为正常

最终结果：你可以使用一个水桶！

Answer 2

恐怕您无法按照您的意愿转让所有权。以下是您所做的：

旧帐户将对象复制到新帐户中。

做的“正确”的方法（假设你想承担的新帐户所有权）将是：

新的帐户将复制旧帐户对象。

看到小而重要的区别？ S3 docs有种解释它。

我想你可能会摆脱它而无需通过复制同一个存储桶中的所有文件，然后删除旧文件来下载整个文件。确保您可以在复制后更改权限。这也应该为您节省一些钱，因为您不必为下载所有内容的数据传输成本付费。

Answer 3

aws s3 cp s3://account1/ s3://accountb/ --recursive --acl bucket-owner-full-control