No se puede validar el acceso a un bucket de S3 al crear una asociación de repositorios de datos (DRA)

Al crear una asociación de repositorios de datos (DRA) desde la FSx consola de Amazon o mediante el comando create-data-repository-association CLI (CreateDataRepositoryAssociationes la acción de API equivalente), se produce un error con el siguiente mensaje de error.


Amazon FSx is unable to validate access to the S3 bucket. Ensure the IAM role or user
you are using has s3:Get*, s3:List* and s3:PutObject permissions to the S3 bucket prefix.

nota

También puede aparecer el error anterior al crear un sistema de archivos Scratch 1, Scratch 2 o Persistent 1 vinculado a un repositorio de datos (bucket o prefijo de S3) mediante la FSx consola de Amazon o el comando create-file-system CLI (CreateFileSystemes la acción de API equivalente).

Acción que debe ejecutarse

Si el sistema FSx de archivos de Lustre está en la misma cuenta que el depósito de S3, este error significa que la función de IAM que utilizaste para la solicitud de creación no tiene los permisos necesarios para acceder al depósito de S3. Asegúrese de que el rol de IAM tiene los permisos indicados en el mensaje de error. Estos permisos admiten la función vinculada al servicio Amazon FSx for Lustre que se utiliza para acceder al bucket de Amazon S3 especificado en su nombre.

Si el sistema de archivos FSx para Lustre está en una cuenta diferente a la del bucket de S3 (en el caso de cuentas cruzadas), además de asegurarse de que el rol de IAM que utilizó tiene los permisos necesarios, la política de bucket de S3 debe configurarse para permitir el acceso desde la cuenta en la que se creó el de for Lustre. FSx La siguiente es una política de ejemplo de bucket,


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetBucketAcl",
                "s3:GetBucketNotification",
                "s3:ListBucket",
                "s3:PutBucketNotification"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name",
                "arn:aws:s3:::bucket_name/*"
            ],
            "Condition": {
                "StringLike": {     
                    "aws:PrincipalArn": [
                        "arn:aws:iam::file_system_account_ID:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fs-*"
                }
            }
        }
    ]
}

Para obtener más información sobre cómo configurar permisos de bucket entre cuentas en Amazon S3, consulte Ejemplo 2: Concesión de permisos de bucket entre cuentas en la Guía del usuario de Amazon Simple Storage Service.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

No puede acceder al sistema de archivos

Renombrar directorios lleva mucho tiempo