Comment résoudre les erreurs d'accès refusé 403 à partir d'un compartiment Amazon S3 avec un accès public en lecture ?

Dernière mise à jour : 29/04/2021

J'essaie d'accéder à un objet de mon compartiment Amazon Simple Storage Service (Amazon S3) qui autorise l'accès public en lecture. Cependant, j'obtiens une erreur 403 Accès refusé. Comment puis-je résoudre cette erreur ?

Résolution

Pour diagnostiquer les problèmes d'accès aux objets d'un compartiment S3 public, lancez le document d'automatisation AWSSupport-TroubleshootS3PublicRead (sur AWS Systems Manager). Cet article analyse certaines configurations de permissions qui affectent le compartiment et les objets, telles que la politique du compartiment et les listes de contrôle d'accès (ACL) aux objets .

Remarque : le document AWSSupport-TroubleshootS3PublicRead analyse les erreurs 403 à partir d'objets lisibles publiquement. Le document n'évalue pas les autorisations pour les objets privés.

Suivez ces étapes pour exécuter le document d'automatisation AWSSupport-TroubleshootS3PublicRead à l'aide de la console Systems Manager :

1.    Ouvrez la console Systems Manager.

2.    Dans le panneau de navigation, choisissez Automatisation.

3.    Choisissez Exécuter l'automatisation.

4.    Sous Choisir un document, choisissez l'onglet Propriétaire d'Amazon.

5.    Dans la barre de recherche de document Automation, saisissez AWSSupport-TroubleshootS3PublicRead, puis appuyez sur Entrée.

6.    Sélectionnez AWSSupport-TroubleshootS3PublicRead.

7.    Sélectionnez Exécuter l'automatisation.

8.    Sélectionnez Exécution simple.

9.    (Facultatif) Pour AutomationAssumeRole, vous pouvez sélectionner un rôle AWS Identity and Access Management (IAM) que Systems Manager peut assumer pour envoyer des demandes à votre compartiment. Si vous laissez ce champ vide, Systems Manager utilise l'identité IAM que vous utilisez pour configurer le document.

Important : la stratégie d'approbation du rôle IAM que vous sélectionnez doit autoriser Systems Manager Automation à assumer le rôle. En outre, le rôle IAM doit disposer d'autorisations pour exécuter le document d'automatisation AWSSupport-TroubleshootS3PublicRead.

10.    Pour S3BucketName, saisissez le nom du compartiment S3 que vous souhaitez résoudre.

11.    (Facultatif) Pour S3PrefixName, vous pouvez spécifier un préfixe à analyser. Si vous laissez ce champ vide, le document répertorie le compartiment et évalue les premiers objets du point de vue lexicographique.

12.    (Facultatif) Pour StartAfter, vous pouvez spécifier le nom de clé à partir duquel le document doit commencer à être répertorié.

13.    Pour MaxObjects, saisissez le nombre maximal d'objets que vous souhaitez que le document évalue. La valeur par défaut est 5.

14.    Pour IgnoreBlockPublicAccess, il est recommandé de laisser la valeur faux.

Avertissement : le remplacement de la valeur par vrai ignore les paramètres Amazon S3 Block Public Access qui pourraient bloquer l'accès.

15.    Pour HttpGet, laissez la valeur vrai si vous souhaitez que le document exécute une requête HTTP GET partielle (le premier octet) de chaque objet analysé. Remplacez la valeur par faux si vous souhaitez que le document exécute une demande GET complète.

16.    Pour Verbose, saisissez vraisi vous souhaitez voir des informations détaillées au cours de l'analyse. Saisissez faux si vous ne souhaitez voir que les messages d'avertissement et d'erreur.

17.    (Facultatif) Pour CloudWatchLogGroupName, vous pouvez saisir un nom de groupe de journaux Amazon CloudWatch auquel vous souhaitez envoyer les résultats de l'analyse. Si vous spécifiez un nom et que le groupe de journaux n'existe pas, le document essaiera de créer un groupe de journaux avec ce nom.

18.    (Facultatif) Pour CloudWatchLogStreamName, vous pouvez entrer un nom de flux de journal CloudWatch auquel vous souhaitez envoyer les résultats de l'analyse. Si vous spécifiez un nom et que le groupe de journaux n'existe pas, le document essaie de créer un groupe de journaux avec ce nom. Si vous laissez ce champ vide, le document utilise l'ID d'exécution du document comme nom de flux de journal.

19.    Pour ResourcePartition, sélectionnez la partition dans laquelle se trouve le compartiment S3. Les options sont aws, aws-us-gov ou aws-cn.

20.    (Facultatif) Pour les balises, saisissez jusqu'à cinq balises de paires clé-valeur.

21.    Choisissez « Exécuter ».

22.    Utilisez l'état Exécution pour suivre la progression du document.

23.    Une fois que l'état indique un Succès, consultez les résultats répertoriés dans Entrants. Les résultats peuvent inclure des codes d'erreur pour chaque objet évalué. Les codes d'erreur peuvent aider à diagnostiquer la cause des erreurs d'accès refusé pour les demandes anonymes adressées à chaque objet.

Conseil : consulter le résultat d'une étape individuelle de l'évaluation, sélectionnez l'ID d'étape approprié sous Étapes exécutées. Les étapes exécutées sont répertoriées sous le statut Exécution.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?