アクセス拒否の例外を返す S3 要求
0
Created On 09/26/18 13:45 PM - Last Modified 07/19/22 23:08 PM
Symptom
兆候
AWS CloudTrail ログには、次のようなアクセス拒否イベントが含まれています。
{
eventVersion: "1.04",
userIdentity: {
タイプ: "AssumedRole",
principalId: "AAAAAAAAAAAAAAAAAAAAA: esp",
arn: "arn: aws: sts:: 111111111111: 想定-役割/明白-サービス-役割/esp",
accountId: "111111111111",
sessionContext: {
属性: {
mfaAuthenticated: "偽",
creationDate: "2017-05-14T23:45: 08Z"
},
sessionIssuer: {
タイプ: "ロール",
principalId: "AAAAAAAAAAAAAAAAAAAAA: esp",
arn: "arn: aws: iam:: 111111111111: ロール/明白-サービス-役割",
accountId: "111111111111",
ユーザー名: "明白-サービス-役割"
}
}
},
eventTime: "2017-05-15T00:01: 44Z",
eventSource: "s3.amazonaws.com",
eventName: "GetBucketLocation",
awsRegion: "米国-西-2",
sourceIPAddress: "192.192.192.192",
userAgent: "",
errorCode: "アクセス拒否",
errorMessage: "アクセスが拒否されました",
requestParameters: {
bucketName: "偽バケツ",
場所: [
""
]
},
responseElements: null、
requestID: "1111111111111111",
eventID: "11111111-1111-1111-1111-111111111111",
eventType: "AwsApiCall",
recipientAccountId: "111111111111"
},
他のログにも同様のアクセス拒否メッセージ/イベントが含まれる場合があります。
診断
S3 バケットのアクセス許可
アクセス拒否エラーを生成するバケットごとに、バケットポリシーをチェックして、アクセスが明らかなサービスロールに対して拒否されていないことを確認します。
外部 S3 バケットを使用した CloudTrail
CloudTrails が外部 S3 バケットに書き込んでいるかどうかを確認します。
Resolution
S3 バケットのアクセス許可
影響を受ける S3 バケットのポリシーを変更して、明らかなロールがバケットの属性にアクセスできるようにします。
外部 S3 バケットを使用した CloudTrail
ローカル S3 バケットに書き込むように CloudTrails を構成します。