L'un de nos clients a récemment tenté d'activer S3 Transfer Acceleration, un service conçu pour accélérer les transferts de données vers et depuis Amazon Simple Storage Service (S3) sur un bucket S3, et s'est heurté à une erreur inattendue (Access Denied).
Nous avons d'abord soupçonné un problème de permissions IAM, une Service Control Policy, ou encore une bucket policy S3, et avons donc exploré ces pistes.
Nos investigations ont révélé que :
- Aucune SCP de type deny n'était associée au compte, hormis la SCP Full AWS Access, qui autorise l'accès.
- Aucune bucket policy n'était associée au bucket S3. Il n'existait donc aucune instruction explicite de refus au niveau du bucket.
- La convention de nommage du bucket était conforme aux exigences de S3 Transfer Acceleration.
- L'utilisateur disposait de privilèges admin IAM. Nous avons aussi tenté avec le root user du compte AWS, qui s'est vu opposer le même message d'erreur.
- Amazon S3 Transfer Acceleration était pris en charge dans la région du bucket S3.
Une rapide recherche Google a montré que cette erreur avait déjà été signalée sur plusieurs forums, sans qu'aucune solution n'ait été publiée.
Heureusement, nous avons réussi à reproduire le problème sur certains de nos comptes AWS personnels. Nous avons donc creusé davantage, sans pour autant identifier la cause exacte. Voici ce que nous avons constaté :
- Cette erreur était plus fréquente sur les comptes créés via AWS Organizations.
- Aucune corrélation particulière avec l'ancienneté des comptes.
- Rien dans AWS CloudTrail n'indiquait l'origine de l'erreur.
- Nous avons aussi tenté de quitter AWS Organizations pour rendre le compte autonome, sans résultat.
En approfondissant la documentation AWS, nous avons découvert qu'Amazon S3 Transfer Acceleration s'appuie sur les edge locations distribuées mondialement d'Amazon CloudFront.
Nous avons donc tenté de créer une nouvelle distribution CloudFront, mais l'opération a échoué avec l'erreur ci-dessous.
À ce stade, nous étions sur le point d'abandonner, en pensant que la seule issue serait de monter en gamme sur notre plan AWS Support. Mais à l'heure de l'optimisation des coûts, nous voulions éviter toute dépense supplémentaire.
Nous avons alors eu l'intuition que cela pouvait être lié au Security Score du compte AWS (un des avantages d'avoir travaillé chez AWS ;), et avons décidé de tester cette piste.
Nous avons lancé quelques instances EC2 dans la région N. Virginia (us-east-1) — des t2.micro suffisent — et les avons laissées tourner 2 à 3 heures, jusqu'à recevoir un e-mail similaire à celui ci-dessous.
Une fois cet e-mail reçu (visible sur la capture ci-dessus), nous avons relancé l'activation de Transfer Acceleration, et tout a fonctionné !
La conclusion : le compte doit être explicitement vérifié dans la région N. Virginia (us-east-1) avant de pouvoir utiliser Amazon S3 Transfer Acceleration. Peu importe qu'il l'ait déjà été dans une autre région.
AWS pourrait améliorer sa documentation et son message d'erreur afin que les utilisateurs comprennent plus clairement la raison du blocage, sans avoir à payer un support AWS inutilement.
Cet article a été co-rédigé avec mon collègue et expert sécurité
.
Senior Cloud Architect chez DoiT International
Auteur
Glad it helped you, i will add the error to the text .
--
Répondre
Wish google indexed this page. Can you add the error in the page as text so people can find this?
Thanks for saving the day!!
--
Répondre
par
[Mise en place de l'authentification SAML pour streamer Amazon Workspaces avec Auth0 comme fournisseur d'identité.\ \
23 nov. 2023
par
[Concevoir une architecture AWS avec des serveurs MCP et des Strands Agents\ \
22 sept. 2025
par
[Empreintes JA3 et JA4 dans AWS WAF et au-delà\ \
10 avr. 2025
[AWS VPN Concentrators : simplifier la connectivité hybride à grande échelle\ \
22 janv.
par
[Guide complet de la redirection d'URL avec AWS CloudFront, S3 et Route53\ \
1er oct. 2025
[Migrer du Serverless Framework vers AWS SAM\ \
7 oct. 2025
[S3\ \
4 oct. 2025
[AWS S3 Bucket\ \
19 déc. 2025
[Application web avec EC2, S3, CloudFront et RDS\