目前支持设置IAM策略的有:存储桶、租户分组/用户、访问秘钥
- 存储桶策略默认只有private、public和custom,限制的是存储桶匿名访问策略
- 租户策略只能选择已有的策略组,限制的主要是租户登录后台的菜单权限,比如创建桶
- 访问密码策略为租户策略的子集,限制的是API接口权限
基于实际需求
允许应用通过API上传文件保存,并支持匿名访问存储路径的文件
- 存储桶策略设计:只允许文件读取,其他权限禁用,比如:ListBucket权限
存储桶由超级管理员创建yxpt,而不是由租户创建
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"*"
]
},
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::yxpt/*"
]
}
]
}
- 租户策略,新增一个租户A,允许租户登录后台并查看或上传yxpt桶文件
策略组新增一个策略:app_yxpt,分配List、Get、Put权限并制定桶yxpt
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:PutObject",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::yxpt/*"
]
}
]
}
- 访问秘钥策略,由于访问秘钥策略自动继承租户策略,所以默认策略下,秘钥也将具有租户的所有权限
基于本需求,文件是通过桶策略进行匿名访问,所以秘钥策略采用最小化授权原则,只开放上传权限
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::yxpt/*"
]
}
]
}
实际达到效果
- 应用通过秘钥调用云存储OSS接口,只有upload能成功,其余的listobject等接口都无法正常调用
- 上传的文件,可以通过路径直接访问,若直接访问根目录下,则无法列出文件清单
- 租户A登录管理后台,只有存储桶yxpt,也不允许新建桶或修改桶策略,租户A可以对存储桶进行文件上传或查看