boto3：使用 IAM 角色的 S3 存储桶放置事件通知失败

debugcn 发表于 Dev

巴拉特

我陷入了尝试使用 IAM 角色在 S3 存储桶上为 SQS 配置事件通知的情况。

它适用于 aws_access_key_id 和 aws_secret_key_id，但不适用于角色 ARN。

作品：

client = boto3.client(
    's3',
    aws_access_key_id='XXXXXXXXXXXX',
    aws_secret_access_key='XXXXXXXXXXXXXXX'
)

bucket_notifications_configuration = {
    'QueueConfigurations': [{
        'Events': ['s3:ObjectCreated:*'],
        'Id': 'Test',
        'QueueArn':'<SQS ARN>'
    }]
}

client.put_bucket_notification_configuration(
    Bucket=bucket_name,
    NotificationConfiguration=bucket_notifications_configuration)

但是出于安全原因，我们试图使用 IAM 角色而不是 ID 来实现相同的结果，我找不到任何有效的方法。尝试使用'sts'，仍然没有运气。获取错误 - “无权执行：sts：AssumeRole 资源：”

不起作用：

client = boto3.client(
    's3',
    role_arn = <IAM Role ARN>
)

bucket_notifications_configuration = {
    'QueueConfigurations': [{
        'Events': ['s3:ObjectCreated:*'],
        'Id': 'Test',
        'QueueArn':<SQS ARN>
    }]
}

client.put_bucket_notification_configuration(
    Bucket=bucket_name,
    NotificationConfiguration=bucket_notifications_configuration)

还尝试在初始化客户端时向运行此 lambda 的角色授予完全 s3 访问权限，而无需提供访问/秘密密钥或角色。但它抱怨拒绝访问。

有人可以帮忙吗？

巴拉特

终于让这个工作了！！似乎您只需要为执行 Lambda 时分配的角色授予足够的权限（感谢@Michael-sqlbot）。如果您从本地计算机运行它，这可能不起作用，因为您无法以这种方式分配角色。

此外，请确保 S3 存储桶存在于您的 lambda 尝试修改的同一 AWS 环境中。否则，您将收到拒绝访问错误。如果您的 S3 无权向您尝试添加通知的 SQS 队列发送消息，它会抛出错误消息 - 无法验证目标配置。

本文收集自互联网，转载请注明来源。

如有侵权，请联系[email protected] 删除。