AWS跨账户访问S3存储桶的6种方式

已于 2023-11-14 21:09:06 修改
阅读量438 收藏
点赞数
分类专栏: aws 文章标签: aws 云计算
于 2023-11-14 14:02:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mmqgirlfriend/article/details/134396719
版权

AWS跨账户访问S3存储桶的6种方式

下面介绍的几种跨账户访问S3存储桶的方式中,只有前面三种:Assume Role, S3桶ACL 及 S3桶策略是真正意义上的通过配置权限的方式进行实现的,后面的三种都不是通过配置跨账户的权限方式实现的。

Assume Role

我们假设分别有A账户和B账户,需求是B账户能够访问A账户中的S3存储桶

  1. 先从账户A中创建Role,Trust Relationship - 选择所信任的实体
    在这里插入图片描述
    Trust Relationship 如下:
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws-cn:iam::B-account-id:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

Permissions - 角色可以访问的S3桶的权限(桶权限 & 对象权限)

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws-cn:s3:::bucket-name",
                "arn:aws-cn:s3:::bucket-name/*"
            ]
        }
    ]
}
  1. 在B账户中创建Role并配置Trust Relationship & Permission
    Permission - 拥有AssumeRole 的权限
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
  1. 测试B账户下能否访问到A账户的S3存储桶
    测试过程:将B账户的角色作为lambda的执行角色,通过调用python的boto3包
import json
import boto3

def lambda_handler(event, context):
    sts_connection = boto3.client('sts')

    accountA = sts_connection.assume_role(
        RoleArn = "arn:aws-cn:iam::A-account-id:role/role-name", 
        RoleSessionName = "cross_acct_lambda"
    )

    access_key = accountA['Credentials']['AccessKeyId']
    secret_key = accountA['Credentials']['SecretAccessKey']
    session_token = accountA['Credentials']['SessionToken']

    # print("=============access_key", access_key)
    # print("=============secret_key", secret_key)
    # print("=============session_token", session_token)

    targetAccountSession = boto3.Session(
            aws_access_key_id = access_key,
            aws_secret_access_key = secret_key,
            aws_session_token = session_token
        )

    s3 = targetAccountSession.client("s3", region_name='region-code')

    # 指定存储桶名称
    bucket_name = 'bucket-name'

    # 列出存储桶内的所有对象
    response = s3.list_objects_v2(Bucket=bucket_name)

    print("============response", response)

能够访问此存储桶的内容

============response {
  'ResponseMetadata': 
  {
..........
}

S3桶ACL

  1. 创建S3存储桶并开启桶ACL
  2. 添加Grantee
    如何查找Grantee:
    点击控制台的右上角

在这里插入图片描述
在这里插入图片描述

  1. 测试:是否可以访问S3存储桶
$ aws s3 ls s3://bucket-name
2023-08-23 05:15:09     84xxxxx83 xxxxxx.png

S3桶策略

给特定的User添加访问权限

  1. 配置桶策略 - 以允许B账户的访问
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws-cn:iam::B-account-id:user/user_name"
            },
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws-cn:s3:::bucket-name",
                "arn:aws-cn:s3:::bucket-name/*"
            ]
        }
    ]
}
  1. 测试 - 查看是否能够访问S3
$ aws s3 ls s3://bucket-name

给特定的Role添加访问权限

  1. 配置桶策略 - 以允许角色的访问
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws-cn:iam::B-account-id:role/role-name"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws-cn:s3:::bucket-name",
                "arn:aws-cn:s3:::bucket-name/*"
            ]
        }
    ]
}
  1. 测试:可以通过Role访问S3存储桶
    B账号的lambda通过调用boto3的方式访问S3存储桶
import boto3

def lambda_handler(event, context):
    s3 = boto3.client('s3', region_name='region')
    bucket_name = 'bucket-name'
    object_key = 'xxxxxxx.png'

    # get_object
    # response = s3.get_object(Bucket = bucket_name, Key=object_key)

    # list_bucket
    response = s3.list_objects(Bucket=bucket_name)

    print("=========response", response)

前提:需要本账户的Role也具有访问S3的权限

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws-cn:s3:::bucket-name",
                "arn:aws-cn:s3:::bucket-name/*"
            ]
        }
    ]
}

对象访问权

分别对桶内的每个对象都放开对象的访问权限,以实现放开桶访问权限的功能

  1. 开启对象的ACL
    在这里插入图片描述
  2. 添加对象的访问权限
    在这里插入图片描述

S3桶预签名

A账户生成预签名,B账户使用A账户生成的url对S3桶内的对象进行访问;预签名 URL 使用的凭证是生成该 URL 的 Amazon 用户的凭证
使用如下aws cli进行预签名的操作,身份凭证会集成到生成的URL中,B账户通过url中集成的身份凭证去访问s3存储桶

aws s3 presign s3://bucket-name/object-name --expires-in 3600

B账户可以通过生成的url去访问S3存储桶

S3存储桶公开访问 - 不推荐使用有安全风险

  1. S3存储桶关闭阻止公开访问
    在这里插入图片描述
  2. 编辑桶策略
{
    "Version": "2008-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws-cn:s3:::bucket-name/*",
                "arn:aws-cn:s3:::bucket-name"
                ]
        }
    ]
}
smygirlfriend
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Amazon S3 存储上设置公共只读访问权限
qq_47415017的博客
04-19 493
Amazon S3 存储上设置公共只读访问权限。
配置账户S3存储访问
BAStriver的博客
01-27 1292
S3存储访问权限授予属于不同aws帐户的委托人,在很多组织的AWS架构中非常常见。我们知道,创建的S3存储默认情况下是私有的,任何存储拥有者之外的账户都不能访问存储。在这情况下,假设我们有两个aws账户bas和bas-developer,就需要使用存储策略来达成账户进行S3存储访问,也就是说bas创建存储策略,允许bas-developer访问存储。............
AWS S3 账号迁移
qq_43773590的博客
05-12 901
AWS S3 账号迁移
AWS CLI使用s3
weixin_34075268的博客
11-16 516
1.安装CLI 文档:http://docs.aws.amazon.com/cli/latest/userguide/installing.html 1 2 3 $ curl"https://s3.amazonaws.com/aws-cli/awscli-bundle.zip"-o"awscli-bundle.zip" $ unz...
aws s3仅允许cloudfront访问_【AWS 服务】通过 STS Session Tags 来对 AWS 资源进行更灵活的权限控制...
weixin_39731682的博客
12-01 678
S3是非常受欢迎的云对象存储,很多客户使用S3存储他们的用户文件。终端用户可以直接通过HTTP的方式上传和管理在S3中的文件,而不需要经过服务器中转。那么如何限制S3对象的访问权限,让终端用户只有管理自己拥有的文件的权限,是很多客户关心的问题。熟悉AWS会知道,IAM的Policy是用来管理AWS访问权限的,那么如何让Policy更灵活、更动态,可以让获取到的权限凭证可...
腾讯云对象存储的创建和S3 Browser的使用
Ilson_的博客
07-08 2232
对象存储(Cloud Object Storage,COS)是由腾讯云推出的无目录层次结构、无数据格式限制,可容纳海量数据且支持 HTTP/HTTPS 协议访问的分布式存储服务。腾讯云 COS 的存储空间无容量上限,无需分区管理,适用于 CDN 数据分发、数据万象处理或大数据计算与分析的数据湖等多场景。
AWS 创建S3存储
SINGWIN01的博客
12-27 622
原定设置情况下,ACL 处于禁用状态。Amazon S3 中的大多数现代使用案例不再需要使用 ACL。我们建议您将 ACL 保持为禁用状态,除非有必须单独控制每个对象的访问权限的特殊情况。原定设置情况下,启用所有四个“屏蔽公共访问权限”设置。我们建议您将所有设置 保 持为启用状态,除非您知道您需要为您的特定使用案例关闭其中一个或多个设置。设置,以要求所有 Amazon S3 上传都包含。,该策略只允许使用此 ACL 上传对象。标准 ACL,则可以。
aws-s3-virusscan:适用于Amazon S3存储的防病毒软件
01-29
适用于S3存储的防病毒软件 您可以使用连接任意数量的存储 提供了具有附加集成的 。 产品特点 使用ClamAV扫描S3存储中的新添加文件 每3小时自动更新ClamAV数据库 扩展EC2实例工作者以分配工作量 发现问题时将...
terraform-aws-cloudtrail-s3-bucket:具有内置IAM策略的S3存储,以允许CloudTrail日志
02-04
在这情况下,您将在生产环境(Production AWS帐户)中创建CloudTrail,而在Audit AWS帐户中创建用于存储CloudTrail日志的S3存储,从而将对日志的访问限制为仅来自Audit帐户的用户/组。 该模块支持以下功能: ...
s3_cost_overview_serverless:通过无数方式获取AWS上任何账户中任何存储的成本和信息的方法
03-09
用于获取AWS上任何存储的成本和信息的工具。 所有后端基础结构都必须与Terraform一起部署。 挑战 寻找最有效的方法来获取有关AWS中每个存储成本的信息。 脚本或工具将需要返回以下信息: 对于每个存储: ...
aws-cloudformation-publisher:AWS CloudFormation Publisher将您的CloudFormation模板打包到每个AWS区域中的S3存储中,并创建可在文档中使用的“启动堆栈”链接,以便客户可以轻松地从CloudFormation模板中启动其AWS账户中的堆栈
05-10
AWS CloudFormation Publisher将您的CloudFormation模板打包到每个AWS区域中的S3存储中,并创建可在文档中使用的“启动堆栈”链接,以便客户可以轻松地从CloudFormation模板中启动其AWS账户中的堆栈。 概述 AWS ...
s3audit:用于审核S3存储的CLI工具
01-30
检查AWS账户中所有S3存储的设置以进行公共访问 有关介绍,请阅读 安装 下载并安装 或安装NPM软件包: $ npm install -g s3audit 用法 节点 AWS凭证将从环境变量中获取。 建议与结合使用 争论 s3audit --bucket=...
AWS eks 用户授权
gnufre的专栏
02-24 1237
国内使用阿里云惯了,点点就可以完成大部分的工作,国外的AWS 大都是命令行操作,且权限设置的特别细,在创建集群后,给用户授权的工作中走了很多弯路,特记录一下。
aws命令行访问s3
英悟的博客
09-11 6123
假设aws命令行已经安装可以使用aws –version来确认。如果没有安装,可以参考官方文档:http://docs.aws.amazon.com/cli/latest/userguide/installing.html在aws的网站后台定义一个IAM用户和密钥该账号必须有访问s3的权限。先执行aws configure$ aws configure AWS Access Key ID [None
Amazon S3私有如何直接访问内资源
最新发布
weixin_43368623的博客
01-02 582
S3私有生成预签名URL,支持直接访问私有内的资源
AWS S3上传文件并可供所有人访问
qq_59833893的博客
10-31 825
进入存储的权限板块:进入所上传的文件的权限板块:回到上传文件属性模块复制对象URL:即可完成访问
AWS S3 配置访问权限(AKSK)的流程
dwe147的博客
08-12 4674
为了能访问有权限限制的AWS S3,需要在访问S3的机器上配置AKSK
AWS s3访问权限
qq_43203949的博客
12-13 5904
AWS s3访问权限 1.1基础策略字段 通过json来控制S3访问权限,以下示例策略用于访问存储。该策略允许用户仅对 MY-BUCKET 执行 s3:ListBuckets3:PutObject 和 s3:GetObject 操作: (下面我将对下面策略的字段进行解释) { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s
s3 403权限问题
09-23
s3 403权限问题是指在访问S3存储时出现了权限不足的错误。为了解决这个问题,您可以按照以下步骤进行操作: 1. 进入存储,点击权限,找到“阻止公有访问(存储设置)”选项,并确保全部不勾选。 2. 定位到“存储策略”,编辑策略内容,将权限设置为允许公开访问。您可以使用如下格式的策略: ``` { "Version": "2008-10-17", "Id": "Policy1380877762691", "Statement": [ { "Sid": "Stmt1380877761162", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::存储名称/*" } ] } ``` 注意替换其中的"存储名称"为您的实际存储名称。 如果以上方法不适用,您还可以尝试使用以下格式的存储策略: ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "DelegateS3Access", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::账号id:user/s3tos3" }, "Action": [ "s3:ListBucket", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::存储名称/*", "arn:aws:s3:::存储名称" ] } ] } ``` 或者使用以下格式的存储策略: ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "DelegateS3Access", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::角色自己定义:user/s3tos3" }, "Action": [ "s3:ListBucket", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::存储名称/*", "arn:aws:s3:::存储名称" ] } ] } ``` 请注意,这些策略中的"账号id"和"角色自己定义"需要替换为您的实际账号ID和角色定义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值