Стек Opsworks и доступ к S3, не могут получить файлы.

Что касается меня, я не могу понять, почему я не могу получить opsworks для доступа к файлам в ведре!

У меня есть шеф-повар 12 стека в Opsworks. Репозиторий представляет собой zip-файл в S3-контейнере с именем "cheftest" (не настоящее имя). Он без проблем захватывает его и запускает рецепт установки. Во время установки предполагается захватить 2 файла приложения для установки из одного и того же "самого проверенного" сегмента. Это работает ТОЛЬКО когда они обнародованы.

Я пробую 2 разных метода, https и s3_file. Оба не будут работать, если файлы приложения не станут общедоступными. http получает запрет 403, s3_file будет просто ждать до истечения времени ожидания.

Я создал политики групп / ролей, которые разрешают доступ. Черт, я даже дал роли экземпляра полный доступ ко всем корзинам S3 и функциям в качестве теста, но все равно не радуюсь.

Теперь я могу успешно RDP в экземпляр Windows, установить CLI AWS и AWS s3 cp файлы!!! Whaaaaaaaaa??? Итак, я знаю, что роль IAM имеет надлежащие разрешения для захвата файлов.

Я запутался. Глядя на документ AWS, я не вижу ничего, что я пропустил: https://docs.aws.amazon.com/opsworks/latest/userguide/using-s3-bucket.html

Я даже пытался дать доступ к ведру aws-opsworks-service-role!

Ролевая политика:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:Get*",
        "s3:List*"
      ],
      "Resource": "arn:aws:s3:::cheftest/*"
    }
  ]
}

Политика Bucket:

{
"Version": "2008-10-17",
"Statement": [
    {
        "Sid": "Stmt1371012494444",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                "arn:aws:iam::<account>:role/WebServers",
                "arn:aws:iam::<account>:role/aws-opsworks-service-role.xxxxxxx"
                ]
        },
        "Action": [
            "s3:List*",
            "s3:Get*"
        ],
        "Resource": "arn:aws:s3:::cheftest/*"
    }
]
}

Хорошо, я сдерживаю подачу этого билета, потому что я пропустил что-то глупое. Теперь я взял пример шаблона облачной информации из приведенной выше ссылки "Использование корзины s3", создал рецепты для использования этих ролей / групп, и по-прежнему не удается получить файлы, если они не являются общедоступными. Но все еще может aws s3 cp файлы, когда я RDP к экземпляру.

Что я пропустил?

Источник

0 ответов

Другие вопросы по тегам