解决EC2实例访问公共S3存储桶时出现“Access Denied”错误

霞舞

发布时间：2025-11-20 14:09:00

439人浏览过

来源于php中文网

原创

解决ec2实例访问公共s3存储桶时出现“access denied”错误

本文旨在帮助开发者解决在使用AWS EC2实例访问完全公开的S3存储桶时遇到的“Access Denied”错误。通过排查IAM角色配置，确保EC2实例具备足够的权限来执行S3操作，从而顺利地与S3存储桶进行交互。

在使用AWS S3存储桶时，经常会遇到从EC2实例访问存储桶出现“Access Denied”错误，即使已经配置了看似正确的存储桶策略和ACL。这种问题通常并非出在存储桶本身，而是与EC2实例的IAM角色配置有关。

问题分析

当你在本地机器上运行代码可以成功访问S3存储桶，但在EC2实例上运行时却出现403 Forbidden错误，这表明问题可能与EC2实例所扮演的IAM角色有关。虽然你已经禁用了所有阻止公共访问的设置，编辑了对象所有权和ACL列表，甚至创建了允许任何人执行任何操作的存储桶策略，但EC2实例仍然可能因为缺少必要的IAM权限而无法访问S3存储桶。

解决方案

解决此问题的关键在于为EC2实例配置一个具有足够权限的IAM角色。IAM角色允许AWS服务（如EC2）代表你执行操作。

步骤：

创建IAM角色： 如果你还没有一个适合的IAM角色，需要在AWS IAM控制台中创建一个新的角色。选择EC2作为该角色将使用的服务。
添加S3权限： 在创建或编辑IAM角色时，需要附加一个策略，授予该角色访问S3存储桶的权限。你可以选择AWS管理的策略，例如AmazonS3FullAccess，它提供对所有S3存储桶的完全访问权限。为了更安全和精细地控制权限，建议创建一个自定义策略，仅授予必要的权限。

Keeva AI
AI一键生成数字人营销视频

下载
- AWS托管策略: AmazonS3FullAccess (不推荐用于生产环境，因为它赋予了过多的权限)
- 自定义策略示例：
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::your-bucket-name",
                "arn:aws:s3:::your-bucket-name/*"
            ]
        }
    ]
}
```
将 your-bucket-name 替换为你的实际存储桶名称。此策略允许GetObject, PutObject和ListBucket操作。根据你的应用需求，调整Action列表。
将IAM角色附加到EC2实例： 在AWS EC2控制台中，选择你的EC2实例，然后导航到“操作”->“安全”->“修改IAM角色”。选择你刚刚创建或修改的IAM角色，然后保存更改。

代码示例 (PHP SDK - 假设使用EC2实例的角色进行身份验证):

require 'vendor/autoload.php';

use Aws\S3\S3Client;
use Aws\S3\Exception\S3Exception;

// 注意：这里不再需要提供凭证，因为SDK会自动使用EC2实例的角色
$s3 = new S3Client([
    'version' => 'latest',
    'region'  => 'eu-west-2',
]);

$bucket = 'your-bucket-name';
$keyname = 'test_file.txt';

try {
    $result = $s3->putObject([
        'Bucket' => $bucket,
        'Key'    => $keyname,
        'Body'   => 'Hello from EC2',
        'ACL'    => 'public-read' // 如果需要公开读取
    ]);

    echo $result['ObjectURL'] . PHP_EOL;
} catch (S3Exception $e) {
    echo $e->getMessage() . PHP_EOL;
}

注意事项：

最小权限原则： 始终遵循最小权限原则，仅授予EC2实例所需的S3权限。避免使用AmazonS3FullAccess等过于宽泛的策略，尤其是在生产环境中。
IAM角色传播： IAM角色的更改可能需要几分钟才能生效。在修改角色后，如果仍然遇到问题，请稍等片刻再进行测试。
AWS SDK配置： 确保你的AWS SDK配置正确。如果使用IAM角色进行身份验证，通常不需要在代码中显式提供凭证。SDK会自动从EC2实例的元数据中获取凭证。
存储桶策略和ACL： 尽管IAM角色是主要的访问控制机制，但仍然需要确保存储桶策略和ACL不会阻止EC2实例的访问。如果存储桶策略包含任何显式拒绝EC2实例访问的规则，则会导致“Access Denied”错误。

总结

当EC2实例无法访问公共S3存储桶时，首先应该检查EC2实例的IAM角色配置。确保该角色具有足够的权限来执行所需的S3操作，并遵循最小权限原则。通过正确配置IAM角色，你可以解决“Access Denied”错误，并使EC2实例能够安全地与S3存储桶进行交互。

PHP 数组作为参数传递的注意事项

PHP array_reduce 聚合数据实战解析

php连MongoDB数据库_noSQL数据库的php操作方法【教程】

PHP 中 use 关键字在闭包回调中的作用与必要性解析

PHP怎样在扩展中操作变量_PHP在扩展中操作变量接口【接口】

相关专题

vb中怎么连接access数据库

vb中连接access数据库的步骤包括引用必要的命名空间、创建连接字符串、创建连接对象、打开连接、执行SQL语句和关闭连接。本专题为大家提供连接access数据库相关的文章、下载、课程内容，供大家免费下载体验。

329

2023.10.09

vb连接access数据库的方法

vb连接access数据库方法：1、使用ADO连接，首先导入System.Data.OleDb模块，然后定义一个连接字符串，接着创建一个OleDbConnection对象并使用Open() 方法打开连接；2、使用DAO连接，首先导入 Microsoft.Jet.OLEDB模块，然后定义一个连接字符串，接着创建一个JetConnection对象并使用Open()方法打开连接即可。

462

2023.10.16

asp连接access数据库的方法

连接的方法：1、使用ADO连接数据库；2、使用DSN连接数据库；3、使用连接字符串连接数据库。想了解更详细的asp连接access数据库的方法，可以阅读本专题下面的文章。

123

2023.10.18

access和trunk端口的区别

access和trunk端口的区别是Access端口用于连接终端设备，提供单个VLAN的接入，而Trunk端口用于连接交换机之间，提供多个VLAN的传输；Access端口只传输属于指定VLAN的数据，而Trunk端口可以传输多个VLAN的数据，并使用VLAN标签进行区分。想了解更多access和trunk端口相关内容，可以阅读本专题下面的文章。

336

2023.10.31

access怎么导入数据

access导入数据步骤：1. 选择数据源 2. 选择要导入的文件 3. 指定导入选项 4. 选择导入目标 5. 预览数据 6. 导入数据即可。想了解更多access的相关内容，可以阅读本专题下面的文章。

456

2024.04.10

access数据库用途

access数据库是一种关系型数据库管理系统，主要用途包括：数据存储和管理；数据查询和检索；报告和表单设计；应用程序开发。想了解更多access数据库的相关内容，可以阅读本专题下面的文章。

594

2024.04.10

PHP高性能API设计与Laravel服务架构实践

本专题围绕 PHP 在现代 Web 后端开发中的高性能实践展开，重点讲解基于 Laravel 框架构建可扩展 API 服务的核心方法。内容涵盖路由与中间件机制、服务容器与依赖注入、接口版本管理、缓存策略设计以及队列异步处理方案。同时结合高并发场景，深入分析性能瓶颈定位与优化思路，帮助开发者构建稳定、高效、易维护的 PHP 后端服务体系。

2026.03.04