问题回顾 #

有位开发者遇到了这样的棘手问题：自己创建S3存储桶的IAM用户拥有该桶的全权限，能在AWS控制台下载单个文件对象，但进入文件夹后下载按钮呈灰色状态，无法批量下载文件夹内的文件；同时因为没有用户密钥，无法通过AWS CLI递归下载，面对上千个Cloudwatch日志文件夹，单个下载完全不现实，附带的桶策略已配置全权限访问：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::bucket-name",
        "arn:aws:s3:::bucket-name/*"
      ]
    }
  ]
}

解决方案与分析 #

兄弟，别头疼！这个问题本质是对S3的存储逻辑和控制台操作逻辑的误解，给你几个不用CLI就能搞定的办法：

1. 先搞懂核心：S3不存在真正的“文件夹”

首先要明确一个关键点：S3是对象存储服务，没有传统文件系统里的文件夹概念。你在控制台看到的“文件夹”，只是AWS为了方便用户浏览，通过对象的前缀（比如cloudwatch-logs/2024-05/）模拟出来的视觉结构，它本身并不是一个真实的存储对象。所以当你点击这个“模拟文件夹”时，控制台的下载按钮自然会灰掉——因为它不是一个可下载的对象。

2. 最直接的解决：批量选择文件夹下的所有对象

进入目标“文件夹”后，按下面的步骤操作：

• 点击页面顶部的全选按钮，选中当前前缀下的所有文件；
• 如果文件太多，也可以用顶部的搜索框输入该文件夹的完整前缀（比如cloudwatch-logs/2024-05/），精准筛选出所有需要的对象；
• 选中后你会发现“下载”按钮立刻激活，点击它，控制台会自动把所有选中的文件打包成ZIP包下载，完美实现批量下载的需求。

3. 快速权限校验（排除极端情况）

虽然你已经配置了全权限的桶策略，且能下载单个文件，权限基本没问题，但可以快速排除两种极端情况：

• 该IAM用户是否被AWS组织的**服务控制策略（SCP）**限制了控制台操作？
• 用户自身的IAM权限是否存在拒绝语句（会优先覆盖允许策略）？
  如果没有这些情况，那肯定是操作方式的问题，不用纠结权限。

4. 超大文件量的进阶方案：S3批量操作

如果需要下载的文件数量达到上万级，批量选择可能会卡顿，试试控制台的批量操作功能：

1. 进入目标存储桶，点击顶部的「批量操作」按钮；
2. 选择「创建任务」，通过前缀筛选出需要下载的所有对象；
3. 选择「导出到Amazon S3」，把这些对象导出到临时桶后再打包下载，或者直接生成批量下载链接（根据需求选择）。
   这个方式适合超大规模的文件处理，全程在控制台操作，不需要任何命令行工具。

先拿一个小文件夹测试一下批量选择下载，肯定能解决你的问题！

备注：内容来源于stack exchange，提问作者boog