从Lambda写入亚马逊S3存储桶会导致"InvalidARN: ARN accountID不匹配正则表达式"[0-9]{12}"“

Lambda是亚马逊AWS提供的一项无服务器计算服务，它允许开发人员以事件驱动的方式运行代码，无需关心服务器的管理和维护。亚马逊S3存储桶是AWS提供的一种对象存储服务，用于存储和检索大量的数据。

当使用Lambda函数将数据写入亚马逊S3存储桶时，可能会遇到"InvalidARN: ARN accountID不匹配正则表达式"[0-9]{12}"的错误。这个错误通常是由于Lambda函数的执行角色（execution role）与S3存储桶的访问权限不匹配导致的。

解决这个问题的方法是确保Lambda函数的执行角色具有足够的权限来访问目标S3存储桶。可以通过以下步骤来修复这个错误：

打开AWS管理控制台，导航到Lambda服务。
选择Lambda函数，进入函数配置页面。
在"权限"选项卡下，找到"执行角色"部分，点击"编辑"按钮。
在"执行角色"页面，点击"附加权限"按钮。
在"筛选器"下拉菜单中选择"S3"，找到并选择适当的S3访问权限策略。
点击"下一步"。
在"策略名称"页面，点击"下一步"。
在"查看"页面，点击"创建角色"。
返回到Lambda函数配置页面，确保执行角色已更新为新创建的角色。
重新运行Lambda函数，尝试将数据写入S3存储桶。

这样，Lambda函数应该能够成功将数据写入亚马逊S3存储桶，而不再出现"InvalidARN: ARN accountID不匹配正则表达式"[0-9]{12}"的错误。

腾讯云提供了类似的无服务器计算服务，称为云函数（SCF）。您可以使用云函数和腾讯云对象存储服务（COS）来实现类似的功能。具体的产品介绍和文档可以在腾讯云的官方网站上找到。

腾讯云云函数：https://cloud.tencent.com/product/scf 腾讯云对象存储服务：https://cloud.tencent.com/product/cos

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

【云原生攻防研究】针对AWS Lambda的运行时攻击

图4 AWS账户信息配置完成后我们尝试通过AWS CLI与AWS服务端进行通信，以下命令含义为列出AWS账户中所有的S3存储桶资源，我们可以看到配置已生效： ?...---- 5.2窃取敏感数据攻击者通过终端执行命令获取到AWS账户下的所有S3存储桶： root@microservice-master:~#aws s3 ls 2020-11-16 16:35:16...存储桶的所有内容同步至本地环境： root@microservice-master:~# aws s3 sync"s3://panther-9e575f5c6886" ~/panther download.../panther/assets/panther.jpg 可以看到S3存储桶的内容已经复制到笔者的本地环境了，我们打开文件看看里面有什么内容： ?...5.3植入恶意木马通常云厂商为了达到更好的冷热启动效果，会增加缓存以保存当前的函数运行时状态，AWS Lambda也不例外，只要查阅其官方文档不难发现AWS Lambda在运行环境中对“/tmp”目录开放了写权限

2K2 0

Serverless｜Framework——图文玩转 AWS Lambda

Lambda 会处理运行和扩展 HA 代码所需的一切工作说的直白一点 Lambda 就好比实现某一个功能的方法（现实中，通常会让 Lambda 功能尽可能单一），我们将这个方法做成了一个服务供调用...S3 后，会通过 Lambda resize 适应不同平台大小的图片 ?...ListBucket" # Resource: { "Fn::Join" : ["", ["arn:aws:s3:::", { "Ref" : "ServerlessDeploymentBucket...Fn::Join: # - "" # - - "arn:aws:s3:::" # - "Ref" : "ServerlessDeploymentBucket...S3 从上图的构建信息中你应该还看到一个 S3 bucket 的名称，我们并没有创建 S3，这是 SF 自动帮我们创建，用来存储 lambda zip package 的 ?

2.4K1 0

手把手带你玩转 AWS Lambda

2.1K3 0

具有EC2自动训练的无服务器TensorFlow工作流程

因为s3proxy将使用路径参数来定义所请求key的文件，并将其作为S3存储桶中的文件夹。对于该train功能，将使用DynamoDB流触发器，该触发器将包含在资源部分中。...接下来，创建S3存储桶和两个DynamoDB表（在此阶段配置的吞吐量有限）。请注意，该data表还包含StreamSpecification将用于触发train功能的。 # ......部署存储桶（通常会自动创建这些策略）。...接下来，将为之前定义的S3存储桶和DynamoDB表添加自定义语句。请注意，在创建自定义策略时，不会自动创建DynamoDB流策略，因此需要显式定义它。...可以从tfjs-node项目中提取必要的模块，但是在本示例中，将利用中的直接HTTP下载选项loadLayersModel。但是，由于S3存储桶尚未对外开放，因此需要确定如何允许这种访问。

12.5K1 0

AWS Lambda 快速入门

12点生成报表发送到指定邮箱下图是将Lambda 作为事件源用于 AWS 服务案例的一个执行流程图： ?...用户将对象上传到 S3 存储桶（对象创建事件）。 Amazon S3 检测到对象创建事件。 Amazon S3 调用在存储桶通知配置中指定的 Lambda 函数。...invoked_function_arn ARN 用于调用此函数。它可以是函数 ARN 或别名 ARN。非限定的 ARN 执行$LATEST 版本，别名执行它指向的函数版本。...log_stream_name CloudWatch 日志流的名称，可从该日志流中查找由 Lambda 函数写入的日志。每次调用 Lambda 函数时，日志流可能会更改，也可能不更改。...如果您使用 Lambda 控制台调用函数，则控制台会显示日志。日志记录您的 Lambda 函数可包含日志记录语句。AWS Lambda 将这些日志写入 CloudWatch。

2.5K1 0

国外物联网平台（1）：亚马逊AWS IoT

应用程序可以随时跟踪所有设备并与其通信，即使这些设备未处于连接状态也不例外。...Service（S3）—可扩展云存储 Amazon Simple Notification—推送通知服务 Amazon Simple Queue Service—消息队列服务设备SDK ?...规则引擎验证发布至AWS IoT的消息请求，基于业务规则转换消息请求并发布至其它服务，例如：富集化或过滤从设备收集的数据将设备数据写入一个亚马逊DynamoDBm数据库保存文件至亚马逊S3 发送一个推送通知到所有亚马逊...SNS用户向亚马逊SQS队列发布数据调用Lambda函数抽取数据使用亚马逊Kinesis处理大量的设备消息数据发送数据至亚马逊Elasticsearch服务捕获一条CloudWatch测量数据...支持全球或部分地区的固件升级规则引擎在DynamoDBm数据库跟踪升级状态和进度注册表存储设备的固件版本 S3管理固件分发版本在S3中组织和保障和固件二进制文件消息代理使用话题模式通知设备分组

7.2K3 1

资源 | Parris：机器学习算法自动化训练工具

此外，我们还需要一个 S3 存储体（bucket）或其它存储位置来存储算法的训练结果。...除了一些账户相关的设置如 IAM role 的 ARN 值和 S3 bucket 名，其它可以按原样直接运行。 1....在 lambda-config.json 中：将 lambda-role-arn 更新为你的一个 IAM role 的 ARN 值（如果这里不理解，可以查看以下亚马逊文档）。...以下是我使用的案例，可以使 Lambda 函数启动一个新的 CloudFormation 堆栈、从 S3 bucket 中获取对象，以及对 EC2 实例进行大量运算： { "Version":...从列表中选择你安装的 CloudFormation 栈。 3. 点击页面顶部的 Actions 下拉菜单，点击 Delete Stack。网页会询问是否确认删除，点击 Delete。 4.

2.9K9 0

S3 老态已显

缺失前置条件功能前置条件（precondition）也被称为比较并交换（CAS）、条件化、如果无匹配（If-None-Match）、如果匹配（If-Match）等，该特性允许客户端仅在满足特定条件时才写入对象...开发人员被迫使用单独的事务性存储 (如 DynamoDB) 来执行事务操作。在 DynamoDB 和 S3 之间构建两阶段写入在技术上并不困难，但它很令人烦躁，而且会导致丑陋的抽象。...S3E1Z缺少大量的标准 S3 特性，包括对象版本的支持、桶标签、对象锁、对象标签和 MD5 校验和 ETags。完整的清单非常令人震惊。我们不能像对待普通的 S3 桶那样对待 S3E1Z 桶。...缺少双区域 / 多区域桶 S3 没有双区域或多区域桶。这样的桶对于更高的可用性非常有用。谷歌在这方面提供了广泛的可选方案。虽然这不是强制的，但拥有更高的可用性桶当然是件好事。...如果数据要传输到亚马逊网络服务 (AWS) 之外的基础设施上，那么将产生网络出口费用。但是，AWS 用户的跨云成本并没有想象中的那么糟糕。

721 0

浅谈云上攻防——Web应用托管服务中的元数据安全隐患

Elastic Beanstalk服务不会为其创建的 Amazon S3 存储桶启用默认加密。这意味着，在默认情况下，对象以未加密形式存储在存储桶中（并且只有授权用户可以访问）。...从上述策略来看，aws-elasticbeanstalk-ec2-role角色拥有对“elasticbeanstalk-”开头的S3 存储桶的读取、写入权限以及递归访问权限，见下图： ?...url=http://169.254.169.254/latest/dynamic/instance-identity/document 从响应数据中Accountid、Region字段获取account-id...获取实例控制权除了窃取用户Web应用源代码、日志文件以外，攻击者还可以通过获取的角色临时凭据向elasticbeanstalk-region-account-id存储桶写入Webshell从而获取实例的控制权...:// elasticbeanstalk-region-account-id/ 当用户使用AWS CodePipeline等持续集成与持续交付服务时，由于上传webshell操作导致代码更改，存储桶中的代码将会自动在用户实例上更新部署

3.8K2 0

浅析云存储的攻击利用方式

亚马逊，然后就是微软的Azure，然后还有谷歌的Google cloud。我们首先来看一下这六大云的一个对象存储的一个利用方式。...Bucket公开访问首先第一个就是bucket的一个公开的一个访问，管理员在创建bucket的时候，默认的是priavte的一个权限，如果在错误的一个配置下，例如说给了一个ListObject的一个权限，会导致存储桶的遍历...我们发现，该存储桶错误的配置了PutBucketPolicy和GetBucketPolicy，此时我们就可以获取存储桶的配置，然后再修改写入配置即可。...9、修改Bucket策略为Deny使业务瘫痪当策略可写的时候，除了以上的一些操作，例如网站引入了某个S3上的资源，图片，JS等，我们可以通过修改Effect为Deny，导致网站无法获取这些资源随之瘫痪...12、Lambda函数执行命令首先我们先创建一个Lambda函数，然后在选择触发器的时候选择我们创建的存储桶，并且触发事件，我们选择所有事件都会触发。

2.5K3 0

火线安全沙龙云安全专场-浅析云存储的攻击利用方式

亚马逊，然后就是微软的Azure，然后还有谷歌的Google cloud。我们首先来看一下这六大云的一个对象存储的一个利用方式。...Bucket公开访问首先第一个就是bucket的一个公开的一个访问，管理员在创建bucket的时候，默认的是priavte的一个权限，如果在错误的一个配置下，例如说给了一个ListObject的一个权限，会导致存储桶的遍历...，但是有一天管理员将存储桶删掉，但是并没有删掉在域名中的DNS解析，这种情况就会导致我们可以去注册同样的存储桶名称来劫持该域名，我们只需要上传任意的文件，就可以让这个域名或者存储桶显示我们想要的东西...，然后再修改写入配置即可 9、修改Bucket策略为Deny使业务瘫痪当策略可写的时候，除了以上的一些操作，例如网站引入了某个S3上的资源，图片，JS等，我们可以通过修改Effect为Deny，导致网站无法获取这些资源随之瘫痪...12、Lambda函数执行命令首先我们先创建一个Lambda函数，然后在选择触发器的时候选择我们创建的存储桶，并且触发事件，我们选择所有事件都会触发我们使用Python编写函数，首先我们使用

1.3K3 0

精通正则表达式 - 正则表达式实用技巧

这个例子的重要启示是：如果回溯会导致不期望，与多选结构有关的匹配结果，问题很可能在于，任何成功的匹配都不过是多选分支的排列顺序造成的偶然结果。 ...在匹配失败后，传动装置会驱动前进一个字符，对 '44' 匹配不再是从每个邮编的第一位开始，因此 '44\\d{3}' 会错误地匹配 44941： mysql> set @r:='44\\d{3}';...不匹配时也应当保证协调性前面的正则表达式手动跳过了不符合要求的邮编，可一旦不需要继续匹配，本轮匹配失败之后自然就是驱动过程和重试（回溯），这样就会从邮编字符串之中的某个位置开始。 ...再看数据样本，在 44272 匹配之后，目标文本中再也找不到匹配，所以本轮尝试宣告失败。但总的尝试并没有宣告失败。传动机构会进行驱动，从字符串的下一个字符开始应用正则表达式，这样就破坏了协调性。..."10,000" 的双引号时，本轮尝试失败，传动机构会进行驱动，从字符串的下一个字符开始应用正则表达式。

8554 0

用AWS部署一个无服务架构的个人网站

整个网站将使用以下的AWS服务： Lambda + API Gateway + S3，用于跑API服务器； DynamoDB，数据存储； S3，静态网站； Cloudfront，分布式CDN，用作静态网站和...将服务部署到Lambda上要部署API到Lambda上，可以使用Zappa包。Zappa包使得部署微服务变得极其容易。...首先需要建一个桶，桶的名字就是域名。从AWS控制台中切换到S3服务。由于我们要建立的静态网站域名为myfrontend.example.com，我们要建一个同名的桶。...:GetObject", 9 "Resource": "arn:aws:s3:::myfrontend.example.com/*" 10 } 11 ] 12...作为总结，下面是这篇文章的一些重点： Lambda可以运行简单的服务，服务可以通过API Gateway暴露成HTTP服务；如果要用Python写无服务器服务，那么Zappa是个非常方便的工具； S3

3.8K4 0

开源情报收集：技术、自动化和可视化

这些记录将显示域是否指向资产，例如用于 Web 托管的 S3 存储桶。此外，一些子域可能可用于域前端或容易受到该子域的接管（例如，已删除的 S3 存储桶的悬空 DNS 记录）。...寻找水桶说到不适合互联网的文档，Amazon S3 存储桶因此而臭名昭著。猎桶现在很热门，但不要忽视Digital Ocean 的“Spaces”。...注意： Web 请求适用于空间，但可能会丢失一些 S3 存储桶。最好使用 Amazon 的awscli或 boto/boto3 Python 库（使用 awscli）来检查存储桶。...这些工具使用亚马逊账户进行身份验证，一些存储桶可能会拒绝来自浏览器的匿名访问，同时允许“经过身份验证的用户”查看他们的一些内容。由于目标是针对特定组织，因此词表应与公司相关。...事实上，托管在 S3 存储桶中的资源或网页的存储桶名称会解析为 hearthstone.blizzard.com.s3.amazonaws.com 之类的名称。

2.2K1 0

为视频增加中文字幕---Amazon Transcribe

用户上传视频文件到S3存储桶；监测到S3存储桶中的文件变化，触发lambda函数； lambda函数调用Transcribe服务，生成视频对应的文本（json格式）；对文本进行格式转换，生成字幕文件格式...创建S3存储桶首先在AWS管理控制台进入”S3“服务，点击“Create bucket”, 输入存储桶的名称，点击“Create”按钮创建一个s3存储桶。 ?...测试在AWS管理控制台点击“S3”服务，打开刚创建的存储桶，进入“video”目录，点击“Upload”“Add files”从本地电脑里选择一个视频文件，点击“Upload”。...当job的状态显示为“Complete”，进入到S3存储桶的“output”目录，您会惊喜的发现，字幕文件已经生成了。...调试在这里，一些读者一定会由于疏忽遗漏了上面的某些步骤，从而导致Lambda函数执行失败。在CloudWatch中，可以快速查询到Lambda函数的执行日志，方便读者进行调试。 ?

2.8K2 0

打造企业级自动化运维平台系列（十三）：分布式的对象存储系统 MinIO 详解

它实现了大部分亚马逊S3云存储服务接口，可以看做是是S3的开源版本，非常适合于存储大容量非结构化的数据，例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等，而一个对象文件可以是任意大小，从几kb到最大...这意味着在12个驱动器设置中，将一个对象分片为6个数据和6个奇偶校验块。即使丢失了多达5个（（n / 2）–1）个驱动器（无论是奇偶校验还是数据），仍然可以从其余驱动器可靠地重建数据。...WORM 启用WORM后，MinIO会禁用所有可能会使对象数据和元数据发生变异的API。这意味着一旦写入数据就可以防止篡改。这对于许多不同的法规要求具有实际应用。...下载文件从存储桶使用以下命令将文件从存储桶下载到本地： $ mc get myminio/mybucket/myobject mylocalfile 设置访问控制列表（ACL）使用以下命令为存储桶设置访问控制列表...删除对象：使用以下命令从存储桶中删除对象： $ mc rm myminio/mybucket/myobject 其中，myminio是别名，mybucket是存储桶名称，myobject是要删除的对象名称

3.9K1 0

从Wiz Cluster Games 挑战赛漫谈K8s集群安全

在真实的EKS环境中，会存在这样一种场景：业务集群有大量节点，节点为了保证pod的正常运行，会从远端容器注册表拉取私有镜像。为了保护私有镜像的安全，防止供应链攻击，容器注册表往往会有认证和授权机制。..."arn:aws:s3:::challenge-flag-bucket-3ff1ae2/flag" ] } ],..."Version": "2012-10-17" } } IAM策略解读：该策略允许用户读取名为"challenge-flag-bucket-3ff1ae2"的S3桶中的对象，以及列出桶中的对象，...同时，也允许用户读取该桶中名为"flag"的特定对象。...解题思路由题干得知：flag存储于challenge-flag-bucket-3ff1ae2存储桶中，我们需要获取到访问该存储桶的权限，那么需要获取到对应IAM角色的云凭据。

3171 0

AWS教你如何做威胁建模

的 API，后端通过DynamoDBTable和S3进行存储。...篡改：如果进程的代码、配置或执行环境（如内存空间）以意想不到的⽅式被修改，则可能会篡改进程。考虑如何篡改⻋辆登记功能中的流程。例如是否可以向 Lambda 函数提供输⼊以修改函数的行为？...否认：Lambda 函数是否可以在不⽣成审计跟踪条⽬的情况下删除存储桶对象，从⽽不归因于执行了该操作？信息泄露：Lambda 函数如何返回对错误 S3 对象的引⽤？...拒绝服务：⾮常⼤的对象是否会导致 Lambda 函数出现问题？权限提升：车辆注册一般不存在普通用户和管理的区别，这里忽略威胁。...泄露泄露：恶意人员如何从DynamoDB 表中读取数据，或读取存储在 Amazon S3 存储桶内的对象中的数据？拒绝服务：恶意人员如何从 Amazon S3 存储桶中删除对象？

1.6K3 0

Python Web 深度学习实用指南：第三部分

假设您想加入您的 AWS 账户中拥有的 S3 存储桶，并希望将图像上传到特定存储桶。 S3 是您要访问的 AWS 资源。...如果您的 AWS 账户中没有任何 S3 存储桶，则无需担心；您可以快速创建一个。创建一个 S3 存储桶您可以通过执行以下步骤快速创建 S3 存储桶：转到 S3 控制台的主页。...使用 boto3 从 Python 代码访问 S3 现在，您可以从 Python 代码访问 S3 存储桶。...从 boto3 SDK 将文件发布到 AWS API 的方法有两种。首先，您可以直接从您具有权限的 S3 存储桶中发送它们，也可以从本地磁盘将图像作为Bytes数组发送。...在上一节中，我们已经了解了如何从 S3 存储桶中查找图像。

14.9K1 0

「云网络安全」为AWS S3和Yum执行Squid访问策略

在本文中，我们将设置一个示例情况，展示如何使用开源Squid代理从Amazon虚拟私有云(VPC)中控制对Amazon简单存储服务(S3)的访问。...Alice在AWS论坛上发现了许多帖子，人们询问Yum仓库和Amazon S3的IP地址范围。然而，亚马逊并没有公布这份名单。为什么?在云计算中，资源是高度弹性的。应用程序会根据需求增长或收缩。...图4 -允许访问Yum仓库和Amazon S3存储桶的Squid Amazon S3支持两种类型的url:路径和虚拟主机。...目前，Squid允许访问任何AWS客户拥有的任何Amazon S3存储桶。如图5所示，Alice希望只限制团队需要访问的桶(例如，mybucket)的访问，并阻止对任何其他桶的访问。 ?...这里不需要正则表达式，因为Alice知道确切的主机头。第二个ACL标识路径样式的URL，并使用url_regex匹配以“s3.amazonaws.com/mybucket/”开头的URL。

2.9K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云