amazon-web-services - 无法将使用Lambda从另一个帐户的S3存储桶复制的S3对象设为公共(public)

我已使用以下“执行”代码(Lambda)将文件“Sample.txt”从一个帐户的S3存储桶复制到另一个帐户的S3存储桶。它可以按预期工作，即从源存储桶中复制“Sample.txt”，然后在目标存储桶中上传“NewSample.txt”。但是，我无法在目标存储段的 public 中创建“NewSample.txt”文件。因此，我无法打开/下载该文件。这是因为目标存储区中“NewSample.txt”文件的所有者仍然与源存储区中“Sample.txt”文件的所有者相同。如果我手动将其他文件上传到目标存储桶中，则可以看到新文件的所有者不同。您能否让我知道如何将文件从S3复制到另一个帐户(目标存储桶中的所有者)中的S3？

package main

import (
    "fmt"

    "github.com/aws/aws-sdk-go/aws"
    "github.com/aws/aws-sdk-go/aws/awserr"
    "github.com/aws/aws-sdk-go/aws/session"
    "github.com/aws/aws-sdk-go/service/s3"
)

// main comment
func main() {
    svc := s3.New(session.New())
    input := &s3.CopyObjectInput{
        Bucket:     aws.String("target-bucket"),
        CopySource: aws.String("/source-bucket/Sample.txt"),
        Key:        aws.String("NewSample.txt"),
    }
    result, err := svc.CopyObject(input)
    if err != nil {
        if aerr, ok := err.(awserr.Error); ok {
            switch aerr.Code() {
            case s3.ErrCodeObjectNotInActiveTierError:
                fmt.Println(s3.ErrCodeObjectNotInActiveTierError, aerr.Error())
            default:
                fmt.Println(aerr.Error())
            }
        } else {
            fmt.Println(err.Error())
        }
        return
    }

    fmt.Println(result)
}

更新＃1:

NewSample.txt->概述选项卡->服务器端加密=访问被拒绝

更新＃2:

我使用了以下存储桶策略

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Test",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<SourceAccountId>:role/<LambdaRole>"
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::target-bucket/*",
                "arn:aws:s3:::target-bucket"
            ]
        }
    ]
}

更新＃3:

-arn:aws:iam::<SourceAccountId>:role/<LambdaRole>的政策摘要:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "arn:aws:s3:::source-bucket/*",
                "arn:aws:s3:::target-bucket/*"
            ]
        }
    ]
}

更新＃4:

正如@John Rotenstein在评论中告诉的那样，我在目标存储桶所在的帐户中创建了一个Lambda(使用完全相同的“执行”代码，但没有ACL)，并在源存储桶中添加了以下存储桶策略:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Test",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<TargetAccountId>:role/<LambdaRole>"
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::source-bucket/*",
                "arn:aws:s3:::source-bucket"
            ]
        }
    ]
}

这次，无需使用ACL，就可以从目标帐户访问该对象，因为我们是从另一个帐户“拉”该对象。另外，本地AWS(目标)帐户这次是NewSample.txt文件的所有者。

更新＃5:

-arn:aws:iam::<TargetAccountId>:role/<LambdaRole>的政策摘要:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "arn:aws:s3:::source-bucket/*",
                "arn:aws:s3:::target-bucket/*"
            ]
        }
    ]
}

最佳答案

我通过添加ACL来解决它，如下所示:

input := &s3.CopyObjectInput{
        Bucket:     aws.String("target-bucket"),
        CopySource: aws.String("/source-bucket/Sample.txt"),
        Key:        aws.String("NewSample.txt"),
        ACL:        aws.String("bucket-owner-full-control"),
    }