Веб-Службы Amazon — Terraform Aws S3 — Запретить Всем Пользователям, Кроме Определенного Пользователя

Amd_sempron

У меня есть ведро, которое мне нужно ограничить конкретным пользователем. Я написал следующий сценарий, но, похоже, он по-прежнему позволяет всем пользователям работать с этим ведром.

resource "aws_s3_bucket" "vulnerability-scans" {

bucket = "vulnerability-scans"
}

resource "aws_s3_bucket_policy" "vulnerability-scans" {

bucket = aws_s3_bucket.vulnerability-scans.id

policy = data.aws_iam_policy_document.vulnerability-scans.json
}

data "aws_iam_policy_document" "vulnerability-scans" {

statement {

principals {

type = "AWS"

identifiers = [

aws_iam_user.circleci.arn,

]

}

actions = [

"s3:PutObject",

"s3:GetObject",

"s3:ListBucket",

]

resources = [

aws_s3_bucket.vulnerability-scans.arn,

"${aws_s3_bucket.vulnerability-scans.arn}/*",

]

}
}

#amazon-web-services #terraform #amazon-s3

Atanskiy

Прежде всего давайте разберемся, как роли и политики работают в AWS. Чтобы пользователь мог получить доступ к корзине, мы можем разрешить это тремя способами:

Разрешите это, используя политику IAM, прикрепленную к роли, которую принимает на себя пользователь;
Разрешите это с помощью политики сегмента;
К группе пользователя прикреплена политика или существует политика, непосредственно прикрепленная к пользователю, которая разрешает доступ к сегменту.

Это явные

data "aws_iam_policy_document" "vulnerability-scans" {

statement {

not_principals {

type = "AWS"

identifiers = [

aws_iam_user.circleci.arn

]

}

effect = "Deny"

actions = [

"s3:*"

]

resources = [

aws_s3_bucket.vulnerability-scans.arn,

"${aws_s3_bucket.vulnerability-scans.arn}/*",

]

}
}

policies. The user will have access if there is at least on policy from above granting him/her access.

Важно то, что явный

{

"Id": "bucketPolicy",

"Statement": [

{

"Action": "s3:*",

"Effect": "Deny",

"NotPrincipal": {

"AWS": [

"arn:aws:iam::1234567890:user/alloweduser"

]

},

"Resource": [

"arn:aws:s3:::examplebucket",

"arn:aws:s3:::examplebucket/*"

]

}

],

"Version": "2012-10-17"
}

takes precedence of an explicit

NotPrincipal

. Итак, если мы хотим запретить доступ конкретному пользователю, нам нужно создать политику корзины с явным

Deny

. In order to do this, мы можем использовать

Allow

.

Пример политики сегмента:

Deny

Код Terraform для этой политики:

Allow

Похожие темы	Дата
Обнаружение Дополнительных Аргументов, Необходимых Для Запуска Ansible Playbooks	19.12.2024, 05:12
Использование Chef Для Многоузловых Операций	19.12.2024, 05:12
Openstack — При Последовательных Запусках `Terraform Apply` Пытается Обновить Имя Хоста После Того, Как Оно Было Установлено Правильно.	19.12.2024, 05:12
Дженкинс – Как Отметить Успех Сборки, Если Один Из Этапов Прерывается?	19.12.2024, 05:12
Java – Как Создать Файл Maven.pom (Не Pom.xml)?	19.12.2024, 05:12
Контейнеры — Докер Против Виртуализации	19.12.2024, 05:12
Amazon Ec2 – Как Завершить Экземпляр Ec2 В Jenkins Через Vagrant, Когда Задание Остановлено Вручную?	19.12.2024, 05:12
Конвейер Jenkins: Выполните Только Шаг «Декларативный: Проверка Scm»	19.12.2024, 05:12
Ssh — Запустить Htop На Удаленном Компьютере В Контейнере Докеров.	19.12.2024, 05:12
Docker-Контейнер Для Запуска Сценариев Автоматизации С Использованием Jenkins	19.12.2024, 05:12

Веб-Службы Amazon — Terraform Aws S3 — Запретить Всем Пользователям, Кроме Определенного Пользователя

Amd_sempron

Atanskiy

I AM

Интересно