配置跨账户S3存储桶的访问

已于 2022-08-28 16:17:02 修改
阅读量1.2k 收藏
点赞数
分类专栏: AWS # AWS IAM # AWS S3 文章标签: aws s3 云计算
于 2022-01-27 22:17:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BAStriver/article/details/122724483
版权
AWS 同时被 3 个专栏收录
25 篇文章 9 订阅
订阅专栏
AWS S3
7 篇文章 0 订阅
订阅专栏
AWS IAM
5 篇文章 0 订阅
订阅专栏

目录

1. S3存储桶概述

2. 案例实践

2.1 资源准备

2.2 配置S3存储桶策略

2.3 配置AWS cli

2.4 测试

1. S3存储桶概述

将S3存储桶的访问权限授予属于不同aws帐户的委托人,在很多组织的AWS架构中非常常见。

我们知道,创建的S3存储桶默认情况下是私有的,任何存储桶拥有者之外的账户都不能访问存储桶。在这种情况下,假设我们有两个aws账户bas和bas-developer,就需要使用存储桶策略来达成跨账户进行S3存储桶访问,也就是说bas创建存储桶策略,允许bas-developer访问存储桶。

2. 案例实践

2.1 资源准备

1) 假设现在账户bas创建好了bas-demo-bucket,进入到S3控制台

2.2 配置S3存储桶策略

去到S3权限编辑,加上以下的存储桶策略:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "cross",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::004398020230:root"
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bas-demo-bucket",
                "arn:aws:s3:::bas-demo-bucket/*"
            ]
        }
    ]
}

 其中,Effect 是允许,Principal资源委托人,要配置为bas-developer也就是EC2所在账户的arn,可以在这复制过来:

 到这已经可以通过bas-developer的cli访问bas的存储桶了。

2.3 配置AWS cli

1) 进入到IAM的安全凭证

2) 然后创建新的访问密钥:

2.4 测试

1) 通过aws configure命令配置cli的access key和key id:

2) 通过bas-developer的profile访问bas的S3。

3) 下载测试。

1. 关于AWS cli安装和环境配置可以参考:AWS CLI 安装配置

2. 如果通过bas-developer拷贝本地文件到bas的桶,那么bas也下载不了这个文件。切换到bas控制台页面然后进入存储桶后找到这个文件,在右侧面板属性可以看到很多属性是拒绝访问的。图中可以看到只有bas-developer才有完全访问权限。 

3. 关于S3跨账户访问配置可以参考:如何提供对 Amazon S3 存储桶中的对象的跨账户访问权限

BAStriver
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
aws iam入门之使用角色账户委派访问权限
蛐蛐的博客
01-22 994
文档:IAM tutorial: Delegate access across AWS accounts using IAM roles - AWS Identity and Access Management 1.简介 如果你与不同账户中的用户共享一个账户中的资源。 通过以这种方式设置账户访问,不必在每个账户中创建单独的 IAM 用户。 用户不必退出一个账户并登录另一个账户即可访问不同 AWS 账户中的资源。 IAM 角色和基于资源的策略仅在单个分区内账户委派访问权限。 2
使用MinIO S3存储备份Weaviate
MinIO
02-17 1176
这种集成完全符合 MinIO 的承诺,即提供可扩展、安全和高性能的数据存储解决方案,现在 Weaviate 的 AI 驱动功能进一步增强了这种解决方案。通过分析这些向量之间的相似性,Weaviate提供了真正了解用户意图的搜索结果,从而超越了基于关键字的搜索的局限性。Weaviate 生态系统中数据的恢复是通过结构化的 API 调用来实现的,该调用通过针对 /v1/backups/s3/backup-id/restore 端点的 POST 请求(由 backup-id 标识)。
aws s3
最新发布
十个菜
05-13 447
"arn:aws:s3:::xxx存储名/*""arn:aws:s3:::xxx存储名","arn:aws:s3:::存储名/*""arn:aws:s3:::存储名",iam的s3创建策略点,然后绑上用户名。设置s3策略,所有人访问
使用AWS S3 为同一账户拥有的源和目标配置复制
weixin_43838503的博客
05-23 862
AWS为同一账户拥有的源和目标配置复制
账号访问权限(Cross Account Access)
weixin_42230010的博客
03-14 616
很多AWS客户都会管理多个不同的AWS账号,比如之前提到的不同的开发环境、测试环境、生产环境等都各分配不同的账号。这样子他们可以对不同类型的账号赋予不同等级和类型的权限,可以在账号和权限的安全性上有更好的控制。那么一般情况下,一个开发者使用开发环境做了一些变更后希望登录到测试环境去做一些系统的测试,那么他必须注销他的账号,然后使用另外的用户名密码登录到测试账号。这样的复杂操作有时候对开发来说简直是个噩梦。有了。
S3设置公共可读
dream_snow2012的专栏
11-26 1794
1.引入jar <!-- 亚马逊S3文件服务 --> <dependency> <groupId>software.amazon.awssdk</groupId> <artifactId>s3</artifactId> <version>2.15.20</version> </dependency&g
配置账户S3存储访问(Cross Account S3 Bucket Configuration)
iloveaws的博客
01-16 2092
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn 【 Domain 1的组织复杂性设计(Design for Organizational Complexity)】——-配置账户S3存储访问(Cross Account S3 Bucket Configuration) Hello大家好,欢迎回来,我...
使用Terraform,以最少的特权访问和全面的标记安全地配置AWS S3存储。-Linux开发
05-27
使用Terraform,以最少的特权访问和全面的标记安全地配置AWS S3存储。 Terraform S3存储和策略模块k9 Security的tf_s3_bucket通过创建具有安全默认值和基于k9访问能力模型构建的最小特权存储策略的AWS S3存储...
terraform-aws-s3-bucket:Terraform模块,可在AWS上创建S3存储资源
01-30
4. **安全和权限管理**:可以配置访问控制列表(ACLs)、身份验证(如IAM策略)、资源策略,以及账户权限,确保存储的安全性。 5. **版本控制和生命周期策略**:通过Terraform,可以启用S3对象的版本控制,防止...
exercise-secure-an-s3-bucket:“保护S3存储”演示文稿中的练习
02-18
保护S3存储在本练习中,我们将学习如何使用AWS安全策略和配置来保护S3中的敏感数据,并仅提供对目标人员和应用程序的访问-访问控制策略。 挑战:将敏感数据保护在只能由单个应用程序访问S3存储中。 本练习使用...
terraform-aws-cloudtrail:用于提供AWS CloudTrail和带有版本控制的加密S3存储的Terraform模块,用于存储CloudTrail日志
02-04
在这种情况下,您将在生产环境(生产AWS帐户)中创建CloudTrail,而在Audit AWS帐户中创建用于存储CloudTrail日志的S3存储,从而将对日志的访问限制为仅来自Audit帐户的用户/组。 该项目是我们针对DevOps的全面...
s3browser-7-6-9.rar
05-13
S3Browser:一款强大的AWS S3对象存储管理工具》 在云计算领域,Amazon S3(Simple Storage Service)是亚马逊云服务提供的一款广泛...无论你是个人开发者还是企业管理员,这款工具都能成为你管理S3存储的强大助手。
AWS-SDK账号访问服务资源
JackieJia的博客
05-31 355
背景介绍 账号的使用场景 一个大型的集团型企业,尤其是涉及到国业务比较多时,在选择云服务提供商时大多会选择目前综合能力最强的亚马逊云服务AWS,本人假设会选择AWS服务,然后在实际的应用过程会根据不同的事业部新建不同的子账号,不同的子账号会根据事业部所管理的业务购买不同的AWS 服务。 痛点 根据以上的使用场景,我们可以清楚的知道一个大型的集团型企业会有多个AWS 子账号,但是作为集团总部的管理者可能需要清楚的知道每个事业部在使用AWS时花费的成本,甚至一些技术leader还需要清楚的知道每一项支出用在
AWS入门】AWS S3存储策略之GetObjectversion
weixin_42161670的博客
03-23 458
验证GetObjectversion策略对访问S3存储对象的影响,首先s3存储开启版本控制,在向存储上传一个文件对象error.html后(通过web访问该链接正常访问),编辑本地文件,再次上传,当再次通过web访问原来的链接,还能成功访问吗?7. 可以通过更新文件前的链接访问修改后的版本。
java aws访问授权 实例_[AWS][安全][S3] IAM 角色授权 EC2 访问 S3
weixin_39620629的博客
03-04 824
实验说明:在先前的中,我们讲到使用 AWS CLI 对 S3 中的对象进行操作,在配置 AWS CLI 的 时候,我们创建了 IAM Access Key 和 Secret Key,这种 Key 属于 Long Term Key,也就意味 着如果您不 rotate Key,那么 key 将长期有效,如果 Key 不慎丢失,就需要在 AWS IAM 界 面删除这个 key 或者停用 key。当我们将...
AWS账户访问S3存储的6种方式
mmqgirlfriend的博客
11-14 501
S3存储账户访问的几种方式
使用 Amazon S3 托管静态网站
Inplayable的博客
08-15 698
使用AWSS3的静态托管功能管理网站
如何将 AWS S3 存储迁移到另一个账户或服务
学海无涯苦作舟的博客
12-16 1517
AWS 的简单存储服务 (S3) 非常适合存储大量对象,但它也是一种与许多其他竞争服务兼容的 API。如果您想离开 AWS,转移 S3 存储很容易。 这是如何运作的? 如果您传入和传出的两个服务都兼容 S3,您可以简单地使用类似 的实用程序rclone,配置访问每个服务,将所有项目传输过来。例如,您可以从 S3 转移到 Digital Ocean 的兼容 Spaces 服务,或者从一个账户中的 S3 存储转移到另一个账户。 为了处理传输,rclone 将从源bucket中读取,找到所有需要传输的文件.
AWS】实操-保护 Amazon S3 VPC 终端节点通信
宝耶需努力的技术分享博客
09-01 1840
数据安全至关重要。Amazon Web Services (AWS) 提供了多种解决方案和最佳实践来帮助保护数据的安全。了解如何做出最佳决策来保护数据的安全,这项任务可能具有挑战性。在无路由指向互联网的私有子网中运行应用程序,可将攻击面限制为仅限内部流量,从而实现数据安全。该策略是一项很好的安全措施。
怎么配置 AWS S3 存储访问权限
06-10
配置 AWS S3 存储访问权限,可以按照以下步骤进行操作: 1. 登录到 AWS 管理控制台,选择 S3 服务。 2. 选择要配置存储,点击“属性”。 3. 找到“权限”部分,点击“编辑”。 4. 在“添加新授权”中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值