Comment résoudre les erreurs d'accès refusé 403 à partir d'un compartiment Amazon S3 avec un accès public en lecture ?

Dernière mise à jour : 06/01/2021

J'essaie d'accéder à un objet dans mon compartiment Amazon Simple Storage Service (Amazon S3) qui autorise l'accès public en lecture. Cependant, j'obtiens une erreur 403 Accès refusé. Comment puis-je résoudre cette erreur ?

Résolution

Pour diagnostiquer les problèmes d'accès aux objets d'un compartiment S3 public, lancez le document d'automatisation AWSSupport-TroubleshootS3PublicRead (sur AWS Systems Manager). Cet article analyse certaines configurations de permissions qui affectent le compartiment et les objets, telles que la politique du compartiment et les listes de contrôle d'accès (ACL) aux objets .

Remarque : le document AWSSupport-TroubleshootS3PublicRead analyse les erreurs 403 à partir d'objets lisibles publiquement. Le document n'évalue pas les autorisations pour les objets privés.

Suivez ces étapes pour exécuter le document d'automatisation AWSSupport-TroubleshootS3PublicRead à l'aide de la console Systems Manager :

1.    Ouvrez la console Systems Manager.

2.    Dans le panneau de navigation, choisissez Automatisation.

3.    Choisissez Exécuter l'automatisation.

4.    Sous Choisir un document, choisissez l'onglet Propriétaire d'Amazon.

5.    Dans la barre de recherche de document Automation entrez S3PublicRead, puis appuyez sur Entrée.

6.    Sélectionnez AWSSupport-Troubleshoots3PublicRead, puis choisissez Suivant.

7.    PourExecute automation document (Exécuter le document d’automatisation), sélectionnez Simple execution (Exécution simple).

8.    (Facultatif) Pour AutomationAssumeRole, vous pouvez sélectionner un rôle AWS Identity and Access Management (IAM) que Systems Manager peut assumer pour envoyer des demandes au compartiment S3. Si vous laissez ce champ vide, Systems Manager utilise l'identité IAM que vous utilisez pour configurer le document.
Important : la stratégie d'approbation du rôle IAM que vous sélectionnez doit autoriser Systems Manager Automation à assumer le rôle. En outre, le rôle IAM doit disposer d'autorisations pour exécuter le document d'automatisation AWSSupport-TroubleshootS3PublicRead.

9.    Pour S3BucketName, entrez le nom du compartiment S3 que vous souhaitez résoudre.

10.    (Facultatif) Pour S3PrefixName, vous pouvez spécifier un préfixe à analyser. Si vous laissez ce champ vide, le document répertorie le compartiment et évalue lexicographiquement les premiers objets.

11.    (Facultatif) Pour StartAfter, vous pouvez spécifier le nom de clé à partir duquel le document doit commencer à être répertorié.

12.    Pour MaxObjects, entrez le nombre maximal d'objets que vous souhaitez que le document évalue. Le nombre par défaut est 5.

13.    Pour IgnoreBlockPublicAccess, une bonne pratique consiste à laisser la valeur comme faux.

Avertissement : la modification de la valeur par vrai ignore les paramètres Amazon S3 Block Public Access qui pourraient bloquer l'accès.

14.    Pour HttpGet, laissez la valeur vrai si vous souhaitez que le document exécute une requête HTTP GET partielle (le premier octet) de chaque objet analysé. Modifiez la valeur sur faux si vous souhaitez que le document exécute une demande GET complète.

15.    Pour Verbose, entrez vrai si vous souhaitez voir des informations détaillées au cours de l'analyse. Entrez faux si vous souhaitez uniquement voir les messages d'avertissement et d'erreur.

16.    (Facultatif) Pour CloudWatchLogGroupName, vous pouvez entrer un nom de groupe de journaux Amazon CloudWatch auquel vous souhaitez envoyer les résultats de l'analyse. Si vous spécifiez un nom et que le groupe de journaux n'existe pas, le document essaiera de créer un groupe de journaux portant ce nom.

17.    (Facultatif) Pour CloudWatchLogStreamName, vous pouvez entrer un nom de flux de journal CloudWatch auquel vous souhaitez envoyer les résultats de l'analyse. Si vous spécifiez un nom et que le groupe de journaux n'existe pas, le document essaiera de créer un groupe de journaux portant ce nom. Si vous laissez ce champ vide, le document utilise l'ID d'exécution du document comme nom de flux de journal.

18.    Pour ResourcePartition, sélectionnez la partition dans laquelle se trouve le compartiment S3. Les options sont aws, aws-us-gov, ou aws-cn.

19.    (Facultatif) Pour les balises, entrez jusqu'à cinq balises de paires clé-valeur.

20.    Sélectionnez Execute (Exécuter).

21.    Utilisez l' état Exécution pour suivre la progression du document.

22.    Une fois que l'état indique Succès, consultez les résultats répertoriés dans Entrants. Les résultats peuvent inclure des codes d'erreur pour chaque objet évalué. Les codes d'erreur peuvent aider à diagnostiquer la cause des erreurs d'accès refusé pour les demandes anonymes adressées à chaque objet.

Conseil : consulter le résultat d'une étape individuelle de l'évaluation, sélectionnez l'ID d'étape approprié sous Étapes exécutées. Les étapes exécutées sont répertoriées sous le statut Exécution.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?