S3 到 Redshift：复制但访问被拒绝

2023-12-01

我们以前每天使用 COPY 命令从没有特定策略的存储桶将文件从 s3 复制到 Redshift。

COPY schema.table_staging     
FROM 's3://our-bucket/X/YYYY/MM/DD/'     
CREDENTIALS 'aws_access_key_id=xxxxxx;aws_secret_access_key=xxxxxx'     
CSV     
GZIP     
DELIMITER AS '|'     
TIMEFORMAT 'YYYY-MM-DD HH24:MI:SS';

由于我们需要提高 S3 存储桶的安全性，因此我们添加了一项策略来授权来自 VPC（我们用于 Redshift 集群的 VPC）或特定 IP 地址的连接。

{
"Version": "2012-10-17",
"Id": "S3PolicyId1",
"Statement": [
    {
        "Sid": "DenyAllExcept",
        "Effect": "Deny",
        "Principal": "*",
        "Action": "s3:*",
        "Resource": [
            "arn:aws:s3:::our-bucket/*",
            "arn:aws:s3:::our-bucket"
        ],
        "Condition": {
            "StringNotEqualsIfExists": {
                "aws:SourceVpc": "vpc-123456789"
            },
            "NotIpAddressIfExists": {
                "aws:SourceIp": [
                    "12.35.56.78/32"
                ]
            }
        }
    }
]
}

此策略非常适合使用 AWS CLI 或 boto Python 库从 EC2、EMR 或我们的特定地址访问文件。

这是我们在 Redshift 上遇到的错误：

ERROR: S3ServiceException:Access Denied,Status 403,Error AccessDenied,Rid xxxxxx,CanRetry 1
Détail : 
-----------------------------------------------
error:  S3ServiceException:Access Denied,Status 403,Error AccessDenied,Rid xxxxxx,CanRetry 1
code:      8001
context:   Listing bucket=our-bucket prefix=X/YYYY/MM/DD/
query:     1587954
location:  s3_utility.cpp:552
process:   padbmaster [pid=21214]
-----------------------------------------------

如果您能在这方面帮助我们，非常感谢，

Damien

ps：这个问题与这个问题非常相似：将数据从 S3 复制到 Redshift - 访问被拒绝

您需要使用 Redshift 的“增强型 VPC 路由”功能。从文档中here:

When you use Amazon Redshift Enhanced VPC Routing, Amazon Redshift forces all COPY and UNLOAD traffic between your cluster and your data repositories through your Amazon VPC.
If Enhanced VPC Routing is not enabled, Amazon Redshift routes traffic through the Internet, including traffic to other services within the AWS network.
For traffic to an Amazon S3 bucket in the same region as your cluster, you can create a VPC endpoint to direct traffic directly to the bucket.

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

amazonwebservices

amazons3

amazonredshift

VPC

S3 到 Redshift：复制但访问被拒绝的相关文章

在 aws lambda 更新过程中请求会发生什么情况？

If I 触发 AWS Lambda 部署更新在第 1 步完成之前触发对 AWS Lambda 的请求请求会直接命中旧的 lambda 吗会报错吗到目前为止在我的测试中似乎没有停机时间它几乎立即将旧的换成新的尽管对新 l
如果 AWS API 请求失败，我如何调试我需要哪些权限？

我正在使用 Terraform 在 AWS 上配置一些资源运行 Terraform 的计划步骤失败并出现以下模糊错误例如 Error Error loading state AccessDenied Access Denied s
带有 s3 路径的张量板 logdir

我看到tensorflow支持AWS s3文件系统 https github com tensorflow tensorflow tree master tensorflow core platform s3 https github co
AWS cognito身份池ABAC如何映射自定义多值属性？

来自身份提供商的开放 ID 令牌示例本例中为 Cognito 用户池 cognito groups testers admins email verified false 我想使用ABAC 就像这里给出的例子一样 https docs a
AWS Lambda 调用错误未触发 SQS 死信队列

我有一个 AWS Lambda 函数它订阅 DynamoDB 流并配置了SQS 死信队列 DLQ https docs aws amazon com lambda latest dg dlq html 我可以看到管理控制台中配置了正确的队
如何动态更新我的 AWS CloudWatch 控制面板？

我在 CloudWatch 中有几个仪表板它们代表我的基础设施的静态视图例如自动扩展工作组中当前正在运行的实例数量或者各种关键 EC2 实例的 CPU 磁盘状态但是当我添加新实例时我总是需要手动更新仪表板以将它们包含在显示中
AWS Cognito - 如何确定用户是否使用电子邮件或电话号码注册

我们已经按照描述实施了自定义身份验证触发器here https docs aws amazon com cognito latest developerguide user pool lambda challenge html 我们设置了用
Elastic Beanstalk、Bundler 找不到 gem“bundler”的兼容版本

我已经尝试过将 Elastic Beanstalk 用于 Rails 当我运行 eb deploy 时出现此错误我需要至少安装bundler 1 8 4 知道如何解决这个问题吗 Bundler could not find compati
如何在docker的keycloak中添加SSL

我在将 SSL 证书添加到在 docker 上运行的 Keycloak 时遇到问题我通过负载均衡器从 AWS EC2 获得了 SSL 证书但不知道如何将其添加到 docker 上的 Keycloak 中我正在通过谷歌搜索但尚未找到任
使用 AWS API Gateway 和 Lambda 从 multipart/form-data 获取非文件正文

我正在尝试从multipart form data POST通过 API 网关连接到我的 AWS Lambda Web 服务超文本传输协议POST具有内容类型 multipart form data 和 URL 编码的正文文件数据也在
DynamoDB 中的时间戳应使用什么数据类型？

我是 DynamoDB 新手我希望创建一个使用 DeviceID 作为哈希键时间戳作为范围键和一些数据的表 DeviceID 123 Timestamp 2016 11 11T17 21 07 5272333Z X 12 Y 35 在
在 Elastic Beanstalk SSH 上运行 Django 命令 -> 缺少环境变量

所以这对我来说是一个长期存在的问题我很想解决它我也认为这会帮助很多其他人我希望在 Elastic Beanstalk EC2 实例上进行 ssh 操作后运行 Django 命令例如 python manage py dumpdata
Beanstalk 部署忽略 .ebextensions 中的 nginx 配置文件

我在单实例 Elastic Beanstalk 环境中托管 Java Web 应用程序并添加了几个 ebextension 文件这些文件在每次部署时成功为我创建配置文件然而我无法找到一种方法让 Beanstalk 在 etc ngi
从 Amazon API 网关终端节点输出纯文本内容

使用 Amazon 的 API Gateway 我可以创建一个端点该端点将调用输出纯文本的 lambda 函数但是当我在端点上发出请求时输出会返回默认内容类型 application json 这将输出用引号括起来的纯文本响应我想
我们能否知道回形针下载何时完成？

我有一个应用程序我需要知道用户的 Rails Paperclip 文件下载时间complete 我的应用程序设置为与 Amazon S3 交互当用户收到完整的文件时我需要运行 JavaScript 函数我怎样才能做到这一点跟踪天气
将密钥对添加到现有 EC2 实例

我被给予AWS控制台访问正在运行 2 个实例的帐户但我无法关闭在生产中但是我想获得对这些实例的 SSH 访问权限是否可以创建一个新的密钥对并将其应用到实例以便我可以通过 SSH 访问获取现有的pem当前无法选择创建实例所用的密
如何将域添加到 aws 上的现有 SSL 证书

我有一个与 Amazon Web Services 上的负载均衡器关联的 SSL 证书我想在该证书上有一个额外的域我的问题是是否可以向 aws 上现有的 ssl 证书添加额外的域我发现您可以在创建证书时添加其他名称但我不知道如何使
如何修改 Amazon RDS 实例的 my.ini 参数

在启动 MySQL 5 5 RDS 实例时 Amazon 使用默认参数组来配置 my ini 参数但控制台不允许我修改它们我怎样才能实现这个目标例如默认将存储引擎设置为MyISAM或设置字符集此处记录了这一点 http aws am
AWS Lambda 提前结束（没有任何显式返回或回调）

我在放入 AWS Lambda 中的一些 Node js 代码时遇到了一些问题我需要进行几个异步调用虽然第一个调用的行为符合我的预期但 lambda 函数在第二个调用完成之前终止返回值为 null 这让我认为 lambda 正在执行
在 Serverless Framework 1.0 中使用路径参数

我想使用路径参数 customer customerId of a GET请求以使用 AWS Lambda 查询客户 functions createCustomer handler handler createCustomer event

随机推荐

ClearCase UCM：从 Dev-stream 获取最新版本

我对动态视图的配置规范感到困惑我尝试将 UCM 流的文件夹的最新版本从开发流获取到另一个基础动态视图我的想法是做一个 element PathToFolder DEV STREAM NAME LATEST 但这不会给我任何东西 UC
创建只读文件

我想知道是否可以创建或模拟一个在创建时设置内容的文件并确保没有人可以更改该文件如果可以的话我可以用java来做吗将文件设置为只读并不意味着任何人都无法更改它取消只读标志大约需要 3 秒然后可以在十六进制编辑器或其他可以处理文件类
如何在nodejs中通过TCP/IP获取传感器数据？

我有一个带有socket io 的nodejs 应用程序要测试这一点请将以下列表保存为 app js 安装 Node 然后 npm install socket io 最后在命令提示符下运行 node app js var http r
XSLT 更改命名空间前缀

我正在尝试将属性转换为元素与此同时我想更改 XML 代码的命名空间前缀 XML代码
使用php/Java读取foxpro DB

我正在寻找一个代码片段库用于使用 Linux 服务器上的 php Java 通过网络从第三方 Foxpro DB 读取数据有可用的图书馆吗有些人似乎在使用 php 的 Dbase 库那样有用吗除了默认值数据库名用户名密码
如何在已经存在于pdf.js中的canvas中绘制矩形

我在这里使用 pdf js 在画布中渲染我的 pdf 我的代码是 div div class pdfViewer div div 上面的canvas是通过viewer js生成的现在我试图在我的pdf上绘制矩形但它没有显示我的矩形我的
使用 CreateProcess 函数启动时，cmd.exe 在某些情况下不会终止

我正在通过 C 程序使用 CreateProcess 函数执行批处理命令我通过检查进程退出代码是否等于除 STILL ACTIVE 之外的任何值来检查进程是否已使用 GetExitCodeProcess 函数终止这适用于 cmd c e
谷歌服务添加了强制关闭应用程序并显示日志猫错误

我一直在开发一个简单的应用程序来加载地图视图我已经遵循了API https developers google com maps documentation android start add a map BUT 执行应用程序强制关闭并出
在WPF中获取数据网格中的多个选定行？

我想在 WPF 中获得数据网格的多重选择因为我的业务要求我在数据网格中有一个客户表它允许多重选择和单选按钮全部选定除选定之外的所有如果单击选定的或未选定的所有客户我必须仅提取数据网格中选定的那些客户的数据请建议解决方案以获取
从 MySQL 数据库中读取一行中的一列

有没有一种快速而肮脏的方法来从一行中获取一列的值现在我使用这样的东西 result mysql query SELECT value FROM table WHERE row id 1 row mysql fetch array resu
默认情况下选择 ManyToManyField 中的所有选项

默认情况下是否可以选择 Django 中 ManyToManyField 生成的多个选择中的所有选项添加的所有新项目都应在视图中预先选择所有选项也在添加新项目时 AnotherEntity class AnotherEntity mod
根据可用性在 GPS 和网络提供商之间切换

public void onCreate locationListener new GeoUpdateHandler locationManager LocationManager getSystemService Context LOCA
在两列上使用 pandas 进行因式分解

我在 pandas 数据框中有一些数据如下所示 CAR TYPE MILEAGE FORD 100 FORD 100 FORD 200 FORD 300 VW 100 VW 150 VW 150 VW 300 我想对数据进行因式分解为
C# FTP 550错误

我正在尝试通过 FTP 以编程方式下载 C 中的文件以下是相关代码显然带有伪造的凭据和 URI try var request FtpWebRequest Create ftp ftp mydomain com folder file
Zxing条码源码集成到Android项目中[重复]

这个问题在这里已经有答案了我想将 zxing 源代码集成到我的 Android 应用程序中我已经下载了 zxing1 5 并将整个代码集成到我的应用程序中并且我通过意图调用活动 CaptureActivity 它仅显示相机视图但不扫
当 WooCommerce 中有运费时如何隐藏免费送货

我正在尝试计算乔治亚州不同城市的运费我找到了这段代码 function ace change city to dropdown fields cities array Tbilisi city2 etc city args wp pars
将类标记为final是否也会使每个函数成为final？

正如标题所说我想知道是否通过将类设为final 并让编译器进行速度优化我是否还需要将函数标记为final 否则它们会自动变为final final应用于类使其不可子类化因此在任何情况下您都不能覆盖任何函数或属性因为为此您必须创建一个
使用 COM 时，为什么 TypeName() 从 .GetType 和 TypeOf 返回不同的结果？

我觉得了解这些函数工作原理的差异会让我受益匪浅这样我就可以更好地理解何时使用每个函数我在使用两种不同的互操作性 Excel 和 EPDM 时遇到了非常困难的情况这两种互操作性都广泛使用了弱类型参数我在使用返回的对象并将其转换为正确的
防止屏幕捕获软件捕获应用程序屏幕

我正在研究考试系统作为系统的安全部分我不希望任何人通过屏幕录制或使用如此多的免费应用程序进行桌面共享来远程泄露试卷首先我搜索我可以阻止此类应用程序吗但我不这么认为因为记录共享屏幕的方法有很多然后我开始了解 HDCP 但我想它只
S3 到 Redshift：复制但访问被拒绝

我们以前每天使用 COPY 命令从没有特定策略的存储桶将文件从 s3 复制到 Redshift COPY schema table staging FROM s3 our bucket X YYYY MM DD CREDENTIALS aw

S3 到 Redshift：复制但访问被拒绝

S3 到 Redshift：复制但访问被拒绝 的相关文章

随机推荐

热门标签

S3 到 Redshift：复制但访问被拒绝的相关文章