У меня есть список сегментов в AWS S3. Я создал пользователя IAM. У меня есть возможность предоставить полный доступ S3 или доступ только для чтения для пользователя, использующего группы. Есть ли варианты предоставить доступ только к определенному бакету?
#amazon-web-services #amazon-s3 #aws-iam
Роли IAM Amazon обычно предоставляют роли доступ к определенному ARN (имени ресурса Amazon). Амазонка отмечает на их страницах что для S3 ресурс
... может быть именем корзины или именем корзины/ключом объекта.
Они также предоставляют полезный пример для этого. который выглядит следующим образом:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["s3:ListBucket"],
"Resource": [
"arn:aws:s3:::test1",
"arn:aws:s3:::test2"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::test1/*",
"arn:aws:s3:::test2/*"
]
}
]
}
Прикрепите приведенную ниже политику к этому пользователю:
https://s3.console.aws.amazon.com/s3/buckets/BUCKET_NAME/https://www.serverkaka.com/2018/05/grant-access-to-only-one-s3-bucket-to-aws-user.html
Чтобы предоставить доступ к определенному сегменту, вы можете определить следующую политику для этого пользователя или группы:
my-bucketГде
is your name of your bucket.{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my-bucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectVersion",
"s3:GetObjectVersionAcl",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectVersionAcl"
],
"Resource": [
"arn:aws:s3:::my-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "arn:aws:s3:::*"
}
]
}
Затем отправьте им URL-адрес консоли для этого сегмента, например.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::YOUR-BUCKET",
"arn:aws:s3:::YOUR-BUCKET/*"
]
}
]
}
Связанный:
Поскольку вы ищете программное создание ролей, вы можете рассмотреть возможность Роли IAM для EC2. Их можно применять к экземплярам EC2 без вмешательства человека, а также избежать необходимости хранить множество учетных данных/ключей, что всегда удобно при использовании автоматизации.
Добавьте следующую политику, если вы хотите получить доступ к программному обеспечению FTP, например WinSCP, КиберДак, и т. д.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:ListBucket"],
"Resource": ["arn:aws:s3:::test"]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": ["arn:aws:s3:::test/*"]
}
]
}
я узнал от Написание политик IAM: как предоставить доступ к корзине Amazon S3
![[Stephen Aikin] STIR Futures: Trading Euribor and Eurodollar futures](/assets/images/icons/forum1.png){kind=icon}
![[Смотри Учись] Пакет курсов: Эффективные презентации и публичные выступления](/assets/images/icons/forum5.png){kind=icon}
![[Джек Ма] Alibaba. История мирового восхождения от первого лица](/assets/images/icons/forum2.png){kind=icon}
![[Галия Бердникова] Путь бизнеса. Дорожная карта запуска своего дела](/assets/images/icons/forum7.png){kind=icon}
