對 Amazon S3 中的存取遭拒 (403 Forbidden) 錯誤進行故障診斷

• 當政策包含特定 AWS 動作的Deny陳述式時，會發生明確拒絕。

• 如果沒有適用的 Deny 陳述式，也沒有適用的 Allow 陳述式，則會發生隱含拒絕。

• BlockPublicAcls – 此設定適用於 PutBucketAcl、PutObjectAcl、PutObject、CreateBucket、CopyObject 和 POST Object 請求。BlockPublicAcls 設定會導致下列行為：

  • 如果指定的存取控制清單 (ACL) 為公有，則 PutBucketAcl 和 PutObjectAcl 呼叫會失敗。

  • 如果請求包含公有 ACL，則 PutObject 呼叫會失敗。

  • 若將此設定套用至帳戶，則當請求包含公有 ACL 時，CreateBucket 呼叫會失敗並以 HTTP 400 (Bad Request) 回應。

  例如，當 CopyObject 請求的存取由於 BlockPublicAcls 設定而遭到拒絕時，您會收到下列訊息：

  An error occurred (AccessDenied) when calling the CopyObject operation: 
  User: arn:aws:sts::123456789012:user/MaryMajor is not authorized to 
  perform: s3:CopyObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" 
  because public access control lists (ACLs) are blocked by the BlockPublicAcls block 
  public access setting.

• IgnorePublicAcls – IgnorePublicAcls 設定會導致 Amazon S3 在儲存貯體及其所包含的任何物件上忽略所有公有 ACL。如果請求的許可僅由公有 ACL 授予，則 IgnorePublicAcls 設定會拒絕該請求。

  任何由於 IgnorePublicAcls 設定所導致的拒絕都是隱含的。例如，若 IgnorePublicAcls 由於公有 ACL 而拒絕 GetObject 請求，您會收到下列訊息：

  User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform: 
  s3:GetObject because no resource-based policy allows the s3:GetObject action

• BlockPublicPolicy – 此設定適用於 PutBucketPolicy 和 PutAccessPointPolicy 請求。

  如果指定的儲存貯體政策允許公開存取，則針對儲存貯體設定 BlockPublicPolicy 會導致 Amazon S3 拒絕呼叫 PutBucketPolicy。如果指定的政策允許公開存取，此設定也會導致 Amazon S3 拒絕對所有儲存貯體的相同帳戶存取點呼叫 PutAccessPointPolicy。

  如果指定的政策 (存取點或基礎儲存貯體) 允許公開存取，則針對存取點設定 BlockPublicPolicy 會導致 Amazon S3 拒絕透過存取點提出的 PutAccessPointPolicy 和 PutBucketPolicy 呼叫。

  例如，當 PutBucketPolicy 請求的存取由於 BlockPublicPolicy 設定而遭到拒絕時，您會收到下列訊息：

  An error occurred (AccessDenied) when calling the PutBucketPolicy operation: 
  User: arn:aws:sts::123456789012:user/MaryMajor is not authorized to 
  perform: s3:PutBucketPolicy on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" 
  because public policies are blocked by the BlockPublicPolicy block public 
  access setting.

• RestrictPublicBuckets – RestrictPublicBuckets設定限制存取具有公有政策的存取點或儲存貯體，僅限於儲存貯體擁有者的帳戶和存取點擁有者帳戶中的 AWS 服務 主體和授權使用者。此設定會封鎖對存取點或儲存貯體 ( AWS 服務 主體除外） 的所有跨帳戶存取，同時仍允許帳戶中的使用者管理存取點或儲存貯體。此設定也會拒絕所有匿名 (或未簽署) 呼叫。

  任何由於 RestrictPublicBuckets 設定所導致的拒絕都是明確的。例如，若 RestrictPublicBuckets 由於公有儲存貯體或存取點政策而拒絕 GetObject 請求，您會收到下列訊息：

  User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform: 
  s3:GetObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" with 
  an explicit deny in a resource-based policy

• 對於同一帳戶存取，在儲存貯體政策或 IAM 使用者政策中，對您嘗試授予其許可的請求者不得有明確的 Deny 陳述式。如果您只想要使用儲存貯體政策和 IAM 使用者政策授予許可，則其中一項政策中至少須有一個明確的 Allow 陳述式。

• 對於跨帳戶存取權，在儲存貯體政策或 IAM 使用者政策中，對您嘗試授予其許可的請求者不得有明確的 Deny 陳述式。若要使用儲存貯體政策和 IAM 使用者政策來授予跨帳戶許可，請確定請求者的儲存貯體政策和 IAM 使用者政策都會包含明確的 Allow 陳述式。

• 識別請求者。如果它是未簽署的請求，則為沒有 IAM 使用者政策的匿名請求。如果是使用預先簽署 URL 的請求，則使用者政策會與簽署請求之 IAM 使用者或角色的使用者政策相同。

• 確認您使用的是正確的 IAM 使用者或角色。您可以檢查 AWS Management Console 的右上角或使用 aws sts get-caller-identity 命令來驗證 IAM 使用者或角色。

• 檢查與 IAM 使用者或角色相關的 IAM 政策。您可以使用下列其中一種方法：

  • 使用 IAM 政策模擬器測試 IAM 政策。

  • 檢閱不同的 IAM 政策類型。

• 如有需要，請編輯您的 IAM 使用者政策。

• 請檢閱下列明確拒絕或允許存取的政策範例：

  • 明確允許 IAM 使用者政策：IAM：以程式設計方式和在主控台中允許和拒絕對多個服務的存取

  • 明確允許儲存貯體政策：將許可授予多個帳戶，以上傳物件或設定物件 ACL 進行公開存取

  • 明確拒絕 IAM 使用者政策：AWS： AWS 根據請求拒絕對 的存取 AWS 區域

  • 明確拒絕儲存貯體政策：寫入儲存貯體的所有物件都需要 SSE-KMS

• 如果 Amazon S3 拒絕了LIST、PUT 物件、GetBucketAcl 或 PutBucketAcl 請求，請檢閱儲存貯體的 ACL 許可。

  注意

  您無法使用儲存貯體 ACL 設定授予 GET 物件許可。

• 如果 Amazon S3 拒絕了 S3 物件上的 GET 請求，或 PutObjectAcl 請求，請檢閱物件的 ACL 許可。

  重要

  如果擁有物件的帳戶與擁有儲存貯體的帳戶不同，則儲存貯體政策不會控制物件的存取。

• 停用 ACL (建議) - 此方法將套用至所有物件，並可由儲存貯體擁有者執行。此方法會自動給與儲存貯體擁有者擁有權，並讓其完全控制儲存貯體中的每個物件。實作此方法之前，請檢查停用 ACL 的先決條件。如需如何將儲存貯體設定為儲存貯體擁有者強制執行 (建議) 模式的相關資訊，請參閱在現有儲存貯體上設定物件擁有權。

  重要

  若要避免發生「拒絕存取 (403 禁止)」錯誤，請務必先將 ACL 許可遷移至儲存貯體政策，然後再停用 ACL。如需詳細資訊，請參閱從 ACL 許可遷移的儲存貯體政策範例。

• 將物件擁有者變更為儲存貯體擁有者 - 此方法可套用至個別物件，但只有物件擁有者 (或具有適當許可的使用者) 才能變更物件的擁有權。可能需要支付額外的 PUT 費用。(如需詳細資訊，請參閱 Amazon S3 定價。) 此方法授予儲存貯體擁有者物件的完整擁有權，允許儲存貯體擁有者透過儲存貯體政策控制物件的存取。

  若要變更物件的擁有權，請執行下列其中一個動作：

  • 您 (儲存貯體擁有者) 可將物件複製回儲存貯體。

  • 您可以將儲存貯體的「物件擁有權」設定變更為儲存貯體擁有者偏好。如果停用版本控制，則會覆寫儲存貯體中的物件。如果啟用了版本控制，則相同物件的重複版本將會出現在儲存貯體中，而儲存貯體擁有者可以將生命週期規則設定為過期。如需如何變更「物件擁有權」設定的指示，請參閱 設定現有儲存貯體的「物件擁有權」。

    注意

    當您將「物件擁有權」設定更新為儲存貯體擁有者偏好時，此設定只會套用至上載至儲存貯體的新物件。

  • 您可以使用 bucket-owner-full-control 標準物件 ACL 讓物件擁有者重新上傳物件。

  注意

  對於跨帳戶上傳，您也可以在儲存貯體政策中要求 bucket-owner-full-control 標準物件 ACL。如需儲存貯體政策範例，請參閱授予跨帳戶許可，以在確保儲存貯體擁有者具有完全控制時上傳物件。

• 將物件寫入者保留為物件擁有者 - 此方法不會變更物件擁有者，但可讓您個別授予物件的存取權。若要授予物件的存取權，您必須具有該物件的 PutObjectAcl 許可。然後，若要修正「拒絕存取 (403 禁止)」錯誤，請將請求者新增為被授予者，以存取物件 ACL 中的物件。如需詳細資訊，請參閱設定 ACL。

• 使用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密

• 伺服器端加密搭配 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS)

• 使用客戶提供金鑰 (SSE-C) 的伺服器端加密

• SSE-S3 - 不需要額外的許可。

• SSE-KMS (搭配客戶受管金鑰) - 若要上傳物件，需要 AWS KMS key 上的 kms:GenerateDataKey 權限。若要下載物件並執行物件的分段上傳，需要 KMS 金鑰上的 kms:Decrypt 許可。

• SSE-KMS （使用 AWS 受管金鑰) – 請求者必須來自擁有 aws/s3 KMS 金鑰的相同帳戶。請求者亦須具有正確的 Amazon S3 許可才能存取物件。

• SSE-C (搭配客戶提供的金鑰) - 不需要其他許可。您可以設定儲存貯體政策，針對儲存貯體中的物件使用客戶提供的加密金鑰來要求和限制伺服器端加密。

• 如果物件版本受到合規保留模式保護，則沒有任何方式可將其永久刪除。來自任何請求者的永久DELETE請求，包括 AWS 帳戶 根使用者，將導致存取遭拒 (403 禁止） 錯誤。此外，請注意，當您針對受合規保留模式保護的物件提交 DELETE 請求時，Amazon S3 會為該物件建立刪除標記。

• 如果物件版本受控管保留模式保護，且您具有 s3:BypassGovernanceRetention 許可，您可以略過保護並永久刪除版本。如需詳細資訊，請參閱繞過控管模式。

• 如果物件版本受法務保存保護，則永久 DELETE 請求可能會導致「拒絕存取 (403 禁止)」錯誤。若要永久刪除物件版本，您必須移除物件版本上的法務保存。若要移除法務保存，您必須具有 s3:PutObjectLegalHold 許可。如需移除法務保存的詳細資訊，請參閱 設定 S3 物件鎖定。

• 因 VPC 端點政策而拒絕存取 – 隱含拒絕

• 因 VPC 端點政策而拒絕存取 – 明確拒絕

• AWS PrivateLink 指南》中的使用端點政策控制對 VPC 端點的存取

• 因服務控制政策而拒絕存取 – 隱含拒絕

• 因服務控制政策而拒絕存取 – 明確拒絕

• 因資源控制政策而拒絕存取 – 明確拒絕

• AWS Organizations 使用者指南》中的列出所有政策

• 存取點的組態

• 用於存取點的 IAM 使用者政策

• 用來管理或設定跨帳戶存取點的儲存貯體政策

存取點組態與政策

• 建立存取點時，您可以選擇將網際網路或 VPC 指定為網路原點。如果網路原點設定為僅限 VPC，Amazon S3 將拒絕對非來自指定 VPC 的存取點所發出的任何請求。若要檢查存取點的網路原點，請參閱 建立受限於 Virtual Private Cloud 的存取點。

• 使用存取點，您也可以設定自訂的「封鎖公開存取」設定，其運作方式與儲存貯體或帳戶層級的「封鎖公開存取」設定類似。若要檢查您的自訂「封鎖公開存取」設定，請參閱 管理存取點的公開存取。

• 若要使用存取點對 Amazon S3 提出成功的請求，請確保請求者具有必要的 IAM 許可。如需詳細資訊，請參閱配置使用存取點的 IAM 原則。

• 如果請求涉及跨帳戶存取點，請確定儲存貯體擁有者已更新儲存貯體政策，以授權來自存取點的請求。如需詳細資訊，請參閱授予跨帳戶存取點的許可。