为什么我在将文件上传到进行过 AWS KMS 默认加密的 Amazon S3 存储桶时收到“访问被拒绝”错误消息?

上次更新时间:2018 年 12 月 21 日

我的 Amazon Simple Storage Service (Amazon S3) 存储桶进行了 AWS Key Management Service (AWS KMS) 默认加密。我的 AWS Identity and Access Management (IAM) 用户或角色对存储桶拥有 s3:PutObject 权限。我尝试将文件上传到存储桶中,但 Amazon S3 返回“访问被拒绝”错误消息。如何解决此问题?

解决方法

基于您收到的错误消息更新您的 IAM 用户或角色的 AWS KMS 权限:

重要提示:如果 AWS KMS 密钥和 IAM 用户或角色属于不同的 AWS 账户,您必须添加对 IAM 策略和 AWS KMS 密钥策略的 AWS KMS 权限。

“调用 PutObject 操作时发生错误 (AccessDenied):访问被拒绝”

添加权限至 kms:GenerateDataKey 操作。使用自定义 AWS KMS 密钥进行默认加密的存储桶需要此权限。

“调用 CreateMultipartUpload 操作时发生错误 (AccessDenied):访问被拒绝”

添加权限至 kms:GenerateDataKeykms:Decrypt 操作。将文件分段上传至进行了 AWS KMS 默认加密的存储桶中需要这些权限。


这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?