AWS s3访问权限

最新推荐文章于 2024-05-27 20:34:55 发布
最新推荐文章于 2024-05-27 20:34:55 发布
阅读量5.9k 收藏 8
点赞数 2
分类专栏: AWS服务 文章标签: S3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43203949/article/details/111131187
版权

AWS s3访问权限

1.1基础策略字段

通过json来控制S3桶的访问权限,以下示例策略用于访问存储桶。该策略允许用户仅对 MY-BUCKET 执行 s3:ListBucket、s3:PutObject 和 s3:GetObject 操作:

(下面我将对下面策略的字段进行解释)

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:ListBucket"
         ],
         "Resource":"arn:aws:s3:::MY-BUCKET"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject"
         ],
         "Resource":"arn:aws:s3:::MY-BUCKET/*"
      }
   ]
}
  • Version 策略版本号(一般为时间戳)
  • Statement 策略的声明(列表的形式,里面定义了访问策略对象)
  • Effect 策略的效果(权限的拒绝或者允许,Deny,Allow)
  • Action 操作(定义操作,可以为字符串数组,也可以是字符串,如果为"s3:*" ,那么为全部操作)
  • Resource 策略附加到的资源(可以为字符串数组,也可以是字符串,AWS中每个资源都有对应的arn)

其他例子

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid":"GrantAnonymousReadPermissions",
            "Effect":"Allow",
            "Principal": "*",
            "Action":["s3:GetObject"],
            "Resource":["arn:aws:s3:::awsexamplebucket1/*"]
        }
    ]
}
  • Sid 策略的ID标识(一般为描述信息)
  • Principal 用于指定被允许或拒绝访问资源的用户、账户、服务或其他实体(“Principal”:"*"匿名访问,及授予每个人权限)
1.2 S3的条件键Condition
{ 
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "statement1",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": [
        "arn:aws:s3:::awsexamplebucket1/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "public-read"
        }
      }
    }
  ]
}
  • Condition 指定策略生效时的条件

可以指定以下这些条件,如:

指定IP访问范围

"Condition" : {
    "IpAddress" : {
    	"aws:SourceIp": "192.0.2.0/24" 
    },
    "NotIpAddress" : {
    	"aws:SourceIp": "192.0.2.188/32" 
    } 
}

要求用户上传对象时需具有特定访问权限

"Condition": {
        "StringEquals": {
          "s3:x-amz-grant-full-control": "id=AccountA-CanonicalUserID"
        }
}

更多条件字段请查阅官方文档:https://docs.aws.amazon.com/zh_cn/AmazonS3/latest/dev/list_amazons3.html.

2.将亚马逊 AWS S3 存储桶的访问权限到一个特定 IAM 角色

其中111111111111为账户号,ROLENAME为角色名。

//使用Principal指定111111111111账户中的ROLENAME
//拥有对MyExampleBucket桶的ListBucket权限
{
    "Effect": "Allow",
    "Principal": {
    	"AWS": "arn:aws:iam::111111111111:role/ROLENAME"
    },
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::MyExampleBucket"
}



//通过Condition指定角色
{
	"Effect": "Deny",
	"Principal": "*",
	"Action": "s3:*",
	"Resource": [
	"arn:aws:s3:::MyExampleBucket",
	"arn:aws:s3:::MyExampleBucket/*"
	],
	"Condition": {
		"StringNotLike": {
			"aws:userId": [
			"AROAEXAMPLEID:*",
			"111111111111"
			]
		}
	}
}


//通过Principal给role/ROLENAME和user/USERNAME权限
{
    "Effect": "Allow",
    "Principal": [
        {
            "AWS": [
                "arn:aws:iam::222222222222:role/ROLENAME",
                "arn:aws:iam::222222222222:user/USERNAME"
            ]
        }
    ],
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::MyExampleBucket"
}

演练:使用用户策略控制对存储桶的访问的官方文档------------
https://aws.amazon.com/cn/blogs/china/securityhow-to-restrict-amazon-s3-bucket-access-to-a-specific-iam-role/.

鸭梨的药丸哥
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AWS入门实践-S3 精细化权限控制
weixin_39108752的博客
04-05 1833
Amazon S3的精细访问控制使你能够精确地管理对S3资源的访问权限。这是通过一系列的权限管理工具和选项来实现的,包括身份与访问管理(IAM)策略、存储桶策略、访问控制列表(ACL)和预签名URL。
[AWS][安全] S3存储桶策略-Bucket Policy
栗子哥的云计算博客
06-19 5052
在上一个实验”IAM 策略”中,我们了解到可以对 IAM 用户赋予一些策略,使这些用户只能 对特定的资源赋予特定的权限,以及在策略中,我们也可以通过变量的方式动态控制每一 个 IAM 用户的策略。但在某些场景下,我们需要对某些资源赋予权限,比如有一个 S3 存 储桶,我们想要把这个存储桶/存储桶中的对象 共享给某一个 AWS 账号,或者某一个 AWS 账号下的 IAM 用户,在这种情况下,我们需要创建基于资源的策略。 S3 存储桶策略和 IAM 用户策略看起来很相似,都是通过 JSON 来进行定义。不同的是
aws lakeformation工作流程和权限管理逻辑
10 学习笔记
05-27 1182
aws lakeformation工作流程和权限管理逻辑简述
aws-s3-proxy:具有基本身份验证的AWS S3的反向代理
02-06
具有基本身份验证的AWS S3的反向代理 支持的标签和相应的Dockerfile链接: ・最新( )・ 2.0( )・ 1.4( )・ 1.4赢( )・ 1( ) 描述 这是AWS S3的反向代理,它也能够提供基本身份验证。 您无需为Website Hosting配置存储桶。 > s3://bucket/access/index.html () 用法 1.设置环境变量 环境变量 描述 需要 默认 AWS_S3_BUCKET 该应用程序将代理S3 bucket 。 * AWS_S3_KEY_PREFIX 您可以配置S3 object key前缀。 -- AWS_RE
AWS实战 - 利用IAM对S3做访问控制
weixin_33827965的博客
12-05 1996
介绍 要对S3访问权限做控制,既可以使用基于身份的策略(IAM用户策略),也可以使用基于资源的策略(ACL和存储桶策略)。 访问一个存储桶的权限控制流程如图所示: 访问存储桶中的对象的权限控制流程如图所示: 当 Amazon S3 收到对象操作请求时,它会将基于资源的所有相关权限(对象访问控制列表 (ACL)、存储桶策略、存储桶 ACL...
AWS S3 让IAM用户可以list bucket
weixin_34343689的博客
05-10 920
使用Cloudberry Explorer是,如果没有加入此权限,用户是无法在打开软件的时候自动让其列出所有S3 bucket的,因此在IAM中需要给用户加上这个S3的Permission policy如下: {"Statement": [{"Effect": "Allow","Action": "s3:","Resource": ""}]} 这样的话,点选加载的账户,此账户下对应的S3 buc...
AWS云计算技术架构探索系列之二-身份账户体系(IAM)
恰恰虎的博客
05-01 4054
一、前言 建立身份账户体系是我们上云的第一步,良好的账户体系设计,会为后续的管理带来极大的便捷性和扩展性,反之,则可能增加管理的复杂,以及账户使用的不安全。 AWS设计了一套完备的身份账号体系,主要包括IAM(Identity and Access Management),以及Organizations,其中IAM,包括账号,用户组,用户,角色,策略等。其关系图如下: 用户,用户是AWS的身份凭证,分为根用户和IAM用户。用户的识别包括用户名/密码,AK/SK。 用户组,...
对象存储S3权限控制
Moolight_shadow的专栏
01-20 3300
layout: post title: 对象存储S3权限控制 catalog: true tag: [Ceph, S3] 1. 背景 1.1. 需求 1.2. 存在的问题 2. 几种已有方式的使用 2.1. 更改用户 2.2. policy授权 2.2.1. example 2.2.2. 设置 2.2.3. 设置效果 2.2.4. 参考示例 2.3. acl 3. 关于s3文档 1. 背景 1.1. 需求 A用户创建了一个桶bucket1 B用户需要能对桶bucket1进行操作 .
aws s3 js sdk
01-25
AWS S3 JS SDK是Amazon Web Services (AWS)提供的JavaScript库,专为在Web应用程序中与Amazon Simple Storage Service (S3)交互而设计。S3是一个云存储服务,用于存放和检索任意数量的数据,无论何时何地,都能以高...
aws_s3.zip
02-19
为了提高安全性,建议使用IAM角色和策略来限制应用程序对S3资源的访问权限,而不是直接使用访问密钥和秘密访问密钥。此外,还可以利用S3的版本控制、生命周期策略、跨区域复制等特性,以实现数据保护和成本优化。 ...
springboot集成amazon aws s3对象存储sdk(javav2)
01-12
接下来,配置AWS S3的访问密钥和秘钥。这些信息可以通过环境变量、配置文件或代码内硬编码等方式提供。在SpringBoot的配置文件(application.yml或application.properties)中,可以这样设置: ```yaml aws: s3: ...
C++ Python AWS S3认证
最新发布
06-01
首先,你需要安装Boto3库(通常通过pip),然后配置AWS访问密钥和秘密访问密钥。之后,你可以通过`boto3.client('s3')`创建一个S3客户端,并调用各种方法执行所需操作。 在AWS认证方面,AWS为不同层次的专业人士...
s3:aws s3 代码
07-20
标题 "s3:aws s3 代码" 指向的是使用 AWS S3(Amazon Simple Storage Service)服务的编程代码,通常与存储、管理和检索云端数据相关。AWS S3 是亚马逊提供的一种高度可扩展、安全且持久的云存储解决方案。在 Java ...
java s3 list dir_s3策略具有无效操作 - s3:ListAllMyBuckets
weixin_42210638的博客
02-28 344
{"Statement": [{"Effect": "Allow","Action": ["s3:ListBucket","s3:GetBucketLocation","s3:ListBucketMultipartUploads"],"Resource": "arn:aws:s3:::itnighq","Condition": {}},{"Effect": "Allow","Action": ["...
AWS S3桶 配置访问权限(AKSK)的流程
dwe147的博客
08-12 4897
为了能访问有权限限制的AWS S3桶,需要在访问S3桶的机器上配置AKSK
存储桶列表访问权限_授予对 Amazon S3 存储桶中某些对象的公开读取访问权限
weixin_33737167的博客
12-29 1120
如何授予对 Amazon S3 存储桶中某些对象的公开读取访问权限?上次更新日期:2020 年 10 月 20 日我希望可以公开读取我的 Amazon Simple Storage Service (Amazon S3) 存储桶中的某些对象。但是,我不希望更改对同一存储桶中其他对象的权限。该如何操作?简短描述通过以下方式之一启用公开读取访问权限:使用 Amazon S3 控制台更新对象的访问控制列...
AWS s3中设置匿名访问的方式
十二小结
09-04 6014
匿名访问的意思未经身份验证的用户可以直接访问资源。 1. 使用存储桶策略设置匿名访问 存储桶策略的介绍      a. 存储桶策略的大小限制为20KB      b. 存储桶策略的文件为JSON格式文件。      c. 策略中的常用元素              <1> 资源:存储桶和对象时您能够允许或拒绝的s3资源。在策略中,使用Amazon资源和名称(ARN)标识资源...
AWS S3上传文件并可供所有人访问
qq_59833893的博客
10-31 941
进入存储桶的权限板块:进入所上传的文件的权限板块:回到上传文件属性模块复制对象URL:即可完成访问。
记录:AWS S3桶权限设置
CMEguagua的博客
03-15 2795
要求:1、关闭公开访问 2、服务器使用ak、sk连接,设置存储桶策略 3、开启桶加速,使用 cloufront 域名或者自定义域名 1、存储桶设置--阻止共有访问 2、在 CloutFront 控制台 源访问身份 并分配 2.1、创建---源访问身份(OAI) 2.2、分配源访问身份的访问 3、配置S3桶的存储桶策略 设置桶的访问权限后,!!!注意代码里面不要设置文件的共有访问属性 { "Version":...
怎么配置 AWS S3 存储桶的访问权限
06-10
要配置 AWS S3 存储桶的访问权限,可以按照以下步骤进行操作: 1. 登录到 AWS 管理控制台,选择 S3 服务。 2. 选择要配置的存储桶,点击“属性”。 3. 找到“权限”部分,点击“编辑”。 4. 在“添加新授权”中选择“AWS账户”,输入您要授权的 AWS 账户 ID。 5. 选择要授予的权限类型,例如“读取”,“写入”等。 6. 点击“保存”。 通过以上步骤,您就可以配置 AWS S3 存储桶的访问权限了。需要注意的是,S3 存储桶的访问权限非常重要,务必谨慎配置,以确保您的数据安全。同时,建议您查看 AWS S3 开发人员文档,了解更多相关配置和安全性措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值