创建 DRA 时无法验证对 S3 存储桶的访问权限 - FSx for Lustre

创建 DRA 时无法验证对 S3 存储桶的访问权限

通过 Amazon FSx 控制台或使用 create-data-repository-association CLI 命令(CreateDataRepositoryAssociation 是等效的 API 操作)创建数据存储库关联(DRA)失败,并显示以下错误消息。

Amazon FSx is unable to validate access to the S3 bucket. Ensure the IAM role or user you are using has s3:Get*, s3:List* and s3:PutObject permissions to the S3 bucket prefix.
注意

使用 Amazon FSx 控制台或 create-file-system CLI 命令(CreateFileSystem 是等效的 API 操作)创建链接到数据存储库(S3 存储桶或前缀)的 Scratch 1、Scratch 2 或 Persitent 1 文件系统时,您也可能会遇到上述错误。

要采取的操作

如果 FSx for Lustre 文件系统与 S3 存储桶位于同一账户,则此错误表示您在创建请求中使用的 IAM 角色没有访问 S3 存储桶所需的权限。确保 IAM 角色具有错误消息中列出的权限。这些权限支持 Amazon FSx for Lustre 服务相关角色,该角色用于代表您访问指定的 Amazon S3 存储桶。

如果 FSx for Lustre 文件系统与 S3 存储桶位于不同账户(跨账户情况),除了确保您使用的 IAM 角色具有所需的权限外,还应将 S3 存储桶策略配置为允许从创建 FSx for Lustre 的账户访问。以下是存储桶策略示例。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:PutObject", "s3:GetObject", "s3:GetBucketAcl", "s3:GetBucketNotification", "s3:ListBucket", "s3:PutBucketNotification" ], "Resource": [ "arn:aws:s3:::bucket_name", "arn:aws:s3:::bucket_name/*" ], "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::file_system_account_ID:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fs-*" } } } ] }

有关 S3 跨账户存储桶权限的更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的示例 2:桶拥有者授予跨账户桶权限