亚马逊网络服务S3同步-计费报告GetObject (拒绝访问)

Question

我有一个整合的计费帐户，我正尝试使用S3同步从该帐户下载计费报告。当我尝试这样做时，它抛出“访问被拒绝”的错误时，同步目录。

所以我运行的bash命令是：

aws s3 sync s3://my-aws-bills /home/user/Billing

上面的命令使用123456789: user /IAMUser登录，这是一个跨帐户IAM用户。S3存储桶有如下策略：

        {
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::123456789:user/IAMUser"
        },
        "Action": [
            "s3:GetBucketAcl",
            "s3:GetBucketPolicy",
            "s3:ListBucket"
        ],
        "Resource": "arn:aws:s3:::my-aws-bills"
    },
    {
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::123456789:user/IAMUser"
        },
        "Action": [
            "s3:GetObject",
            "s3:DeleteObject"
        ],
        "Resource": "arn:aws:s3:::my-aws-bills/*"
    }

当我运行bash命令时，它连接正常，我看到列出的文件，但每个文件都有错误：

download failed: s3://my-aws-bills/123456789-aws-billing-csv-2018-03.csv to ../../home/user/Billing/123456789-aws-billing-csv-2018-03.csv An error occurred (AccessDenied) when calling the GetObject operation: Access Denied

如果我将文件从我的桌面上传到该存储桶(以帐户所有者的身份登录)，则S3同步对该文件正常工作，但对已由亚马逊网络服务计费放在那里的文件不起作用。

我还注意到，通过root用户，我没有权限查看AWS放置在其中的csv文件的权限。

我想我遇到了权限问题，但我会认为我已经申请的权限足以下载这些文件？

Answer 1

所以我相信(虽然不能证明)这里的问题是我试图使用一个在不同帐户中的用户跨帐户。我最终在与帐单帐户相同的帐户中创建了另一个IAM用户，并且可以使用与上面相同的权限进行访问(我只是更改了IAMUser)。你不能跨账户以编程方式访问其他人的账单数据，这是有意义的，但我还没有看到任何地方有文档记录。