S3奇淫技巧:一步完成上传及ACL设置

最新推荐文章于 2023-04-08 18:03:45 发布
最新推荐文章于 2023-04-08 18:03:45 发布
阅读量1k 收藏
点赞数
文章标签: python java
原文链接:https://my.oschina.net/diluga/blog/1057730
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

需求描述

用户A需要在上传文件到S3的同时设置允许用户test1可读,上传数据和设置ACL需要一步完成。其目的是尽量减少http请求次数,提高并发效率。

python用例

from boto.s3.connection import S3Connection
import boto
import os

endpoint = 's3.ceph.work'
bucket_name = 'test3'
access_key = ''
secret_key = ''
key_name = 'abc'

conn = boto.connect_s3(
    aws_access_key_id=access_key,
    aws_secret_access_key=secret_key,
    host=endpoint,
    is_secure=False,
    calling_format=boto.s3.connection.SubdomainCallingFormat(),
    validate_certs=False,
)

bucket = conn.get_bucket(bucket_name)
key_ = bucket.new_key(key_name)

#方法1,通常一般用这个方法
key_.set_contents_from_string('aa') #第一次http请求,PUT操作,上传数据
key_.add_user_grant('READ','test1') #第二次http请求,PUT操作,设置ACL

#方法2,设置http请求头
headers = {"x-amz-grant-read":"id=test1"} #这里切记要在id(type)后面加上"=",不然就踩坑了
key_.set_contents_from_string('aa', headers=headers) #一次http请求,PUT操作,上传数据同时设置Object的ACL

原理说明

方法2其实也是遵循了S3标准的操作,只需要在上传Object的HTTP请求header中加入"x-amz-acl"或“x-amz-grant-permission”,目前ceph已经实现了emailAddress、id、url三种类型认证方式,但是注意提交的value,一定要用 type=value的形式,下面介绍一下rgw中的源码具体实现。

S3中关于上传Object的具体标准请参考如下 http://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPUTacl.html

RGW的实现

第一步根据之前源码介绍的找入口方法,定位到以下函数

#src/rgw/rgw_rest_s3.cc
RGWOp *RGWHandler_REST_Obj_S3::op_put()
{
  if (is_acl_op()) {
    return new RGWPutACLs_ObjStore_S3;
  }
  if (s->init_state.src_bucket.empty())
    return new RGWPutObj_ObjStore_S3; #这里对应的是PUT方式上传Object
  else
    return new RGWCopyObj_ObjStore_S3;
}

再看一下这个类的定义如下

#src/rgw/rgw_rest_s3.cc
class RGWPutObj_ObjStore_S3 : public RGWPutObj_ObjStore {
public:
  RGWPutObj_ObjStore_S3() {}
  ~RGWPutObj_ObjStore_S3() {}

  int get_params(); #这里实现HTTP请求头的数据处理
  int get_data(bufferlist& bl);
  void send_response();

  int validate_aws4_single_chunk(char *chunk_str,
                                 char *chunk_data_str,
                                 unsigned int chunk_data_size,
                                 string chunk_signature);
  int validate_and_unwrap_available_aws4_chunked_data(bufferlist& bl_in,
                                                      bufferlist& bl_out);
};

在get_params的实现中通过create_s3_policy来实现对policy的构建

#src/rgw/rgw_rest_s3.cc

int RGWPutObj_ObjStore_S3::get_params()
{
  RGWObjectCtx& obj_ctx = *static_cast<RGWObjectCtx *>(s->obj_ctx);
  map<string, bufferlist> src_attrs;
  size_t pos;
  int ret;

  RGWAccessControlPolicy_S3 s3policy(s->cct);
  if (!s->length)
    return -ERR_LENGTH_REQUIRED;

  ret = create_s3_policy(s, store, s3policy, s->owner); #创建policy
  if (ret < 0)
    return ret;

  policy = s3policy;

再看一下create_s3_policy有两类s3policy的构建方法,一类是create_from_headers,另外一类是create_canned,我们这里是通过http header设置,所以选create_from_headers

#src/rgw/rgw_rest_s3.cc
static int create_s3_policy(struct req_state *s, RGWRados *store,
			    RGWAccessControlPolicy_S3& s3policy,
			    ACLOwner& owner)
{
  if (s->has_acl_header) {
    if (!s->canned_acl.empty())
      return -ERR_INVALID_REQUEST;

    return s3policy.create_from_headers(store, s->info.env, owner);
  }

  return s3policy.create_canned(owner, s->bucket_owner, s->canned_acl);
}

再看一下create_from_headers的实现,其基本流程是遍历s3_acl_header获得对应HTTP的ACL类型,最后通过parse_grantee_str生成对应的规则

#src/rgw/rgw_acl_s3.cc
static const s3_acl_header acl_header_perms[] = {
  {RGW_PERM_READ, "HTTP_X_AMZ_GRANT_READ"},
  {RGW_PERM_WRITE, "HTTP_X_AMZ_GRANT_WRITE"},
  {RGW_PERM_READ_ACP,"HTTP_X_AMZ_GRANT_READ_ACP"},
  {RGW_PERM_WRITE_ACP, "HTTP_X_AMZ_GRANT_WRITE_ACP"},
  {RGW_PERM_FULL_CONTROL, "HTTP_X_AMZ_GRANT_FULL_CONTROL"},
  {0, NULL}
};

int RGWAccessControlPolicy_S3::create_from_headers(RGWRados *store, RGWEnv *env, ACLOwner& _owner)
{
  std::list<ACLGrant> grants;
 
  for (const struct s3_acl_header *p = acl_header_perms; p->rgw_perm; p++) {
    if (parse_acl_header(store, env, p, grants) < 0) #根据匹配到的header生成对应acl
      return false;
  }

  RGWAccessControlList_S3& _acl = static_cast<RGWAccessControlList_S3 &>(acl);
  int r = _acl.create_from_grants(grants);

  owner = _owner;

  return r;
}


static int parse_acl_header(RGWRados *store, RGWEnv *env,
         const struct s3_acl_header *perm, std::list<ACLGrant>& _grants)
{
  std::list<string> grantees;
  std::string hacl_str;

  const char *hacl = get_acl_header(env, perm);
  if (hacl == NULL)
    return 0;

  hacl_str = hacl;
  get_str_list(hacl_str, ",", grantees);

  for (list<string>::iterator it = grantees.begin(); it != grantees.end(); ++it) {
    ACLGrant grant;
    int ret = parse_grantee_str(store, *it, perm, grant); #最终实现acl的匹配在这里面
    if (ret < 0)
      return ret;

    _grants.push_back(grant);
  }

  return 0;
}

static int parse_grantee_str(RGWRados *store, string& grantee_str,
        const struct s3_acl_header *perm, ACLGrant& grant)
{
  string id_type, id_val_quoted;
  int rgw_perm = perm->rgw_perm;
  int ret;

  RGWUserInfo info;

  ret = parse_key_value(grantee_str, id_type, id_val_quoted); #注意这里对header中传进来的type=value进行处理
  if (ret < 0)
    return ret;

  string id_val = rgw_trim_quotes(id_val_quoted);

  if (strcasecmp(id_type.c_str(), "emailAddress") == 0) {
    ret = rgw_get_user_info_by_email(store, id_val, info);
    if (ret < 0)
      return ret;

    grant.set_canon(info.user_id, info.display_name, rgw_perm);
  } else if (strcasecmp(id_type.c_str(), "id") == 0) {
    rgw_user user(id_val);
    ret = rgw_get_user_info_by_uid(store, user, info);
    if (ret < 0)
      return ret;

    grant.set_canon(info.user_id, info.display_name, rgw_perm);
  } else if (strcasecmp(id_type.c_str(), "uri") == 0) {
    ACLGroupTypeEnum gid = grant.uri_to_group(id_val);
    if (gid == ACL_GROUP_NONE)
      return -EINVAL;

    grant.set_group(gid, rgw_perm);
  } else {
    return -EINVAL;
  }

  return 0;
}

这里需要重点提到的一点就是在parse_grantee_str中parse_key_value方法,如果你传进来的header字段的value不包含"=",那么你就悲剧了。

#src/rgw/rgw_common.cc
int parse_key_value(string& in_str, const char *delim, string& key, string& val)
{
  if (delim == NULL)
    return -EINVAL;

  int pos = in_str.find(delim);
  if (pos < 0)
    return -EINVAL;

  trim_whitespace(in_str.substr(0, pos), key);
  pos++;

  trim_whitespace(in_str.substr(pos), val);

  return 0;
}

int parse_key_value(string& in_str, string& key, string& val)
{
  return parse_key_value(in_str, "=", key,val); #将header里的value按"="进行拆分
}

转载于:https://my.oschina.net/diluga/blog/1057730

weixin_34107739
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ysoserial CommonsColletions3分析(1)
洋洋的小黑屋
07-07 1299
ysoserial CommonsColletions3分析(1) CC3的利用链在JDK8u71版本以后是无法使用的,具体还是由于AnnotationInvocationHandler的readobject进行了改写。 而CC3目前有两条主流的利用链,利用TransformedMap或者LazyMap。我们这篇文章先讲TransformedMap链 TemplatesImpl 在CC2中利用javassist创建了一个攻击类,使用TemplatesImpl类中的newTransformer方法触发 这里写
S3标准 ACL(Canned ACL
iloveaws的博客
01-31 2744
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn 【 Domain 1的组织复杂性设计(Design for Organizational Complexity)】——-S3标准 ACL(Canned ACL) Hello大家好,欢迎回来,我们今天的课程内容是S3的标准ACL,对于跨账户的S3的存储桶访问,掌握...
AWS S3 bucket 的 ACL 控制
HONEY MOOSE
11-02 940
在新的 AWS S3 控制中,启用了一个默认的配置。这个默认的配置能够阻止用户的访问。
aws s3 php,aws s3 php sdk“putobjectacl”的正确语法
weixin_39712705的博客
03-18 201
我的任务是弄清楚aws-php-sdk是如何工作的,这样我们就可以使用它托管web服务器的客户图像数据。我已经成功地测试了创建、管理数据和将数据加载到bucket中的大部分功能,但是当我试图查看内容时,我得到了“拒绝访问”。进入管理控制台后,我找到了如何设置权限,以便可以使用特定的主机规则或通过设置bucket和对象world可读性来查看文件。然而,无论我如何尝试遵循php sdk[limited...
RGW S3 ACL解析
weixin_34270606的博客
04-14 391
2019独角兽企业重金招聘Python工程师标准>>> ...
ns3—第二章:second.cc分析,带两个子网的网络,p2p,csma
三眼二郎
08-28 1789
1.文件位置 ns3/examples/tutorial/second.cc 2.程序 该程序涉及两个网络,P2P和CSMA,因此通过这个例子,大家可以学到不同网络组成的大型网络如何定以点,以及点之间的相互连接关系。 下面和第一章有所区别,第一章详细地写明了每个代码行地用处,这里是基于第一章的基础,只写了重要的部分解析。 //代码风格 /* -*- Mode:C++; c-file-style:"gnu"; indent-tabs-mode:nil; -*- */ //采用GNU许可 /* * This
s3-plugin:将Jenkins构建工件上传到Amazon S3
02-01
通过./pluginManager/advanced将target/s3.hpi上传到您的Jenkins实例 配置S3配置文件:管理Jenkins->配置系统-> Amazon S3配置文件 项目->配置-> [x]将工件发布到S3存储桶 建造 只需运行mvn 。 用法 激活后,传统的...
gradle-s3-plugin:S3文件上传和下载插件
05-12
s3上传 顾名思义,s3Upload任务可用于将本地文件上传到具有给定键名的存储桶。 s3下载 同样,可以使用s3Download任务将给定文件从所选存储桶下载到本地目录。 该插件使用ProfileCredentialsProvider策略确定AWS访问...
s3-cli:Go版本的s3cmd
05-06
这是通过SDK随附的s3manager完成的 在本地计算机上更有效地使用CPU和资源 安装 go get github.com/koblas/s3-cli 配置 s3-cli与s3cmd的配置文件兼容,因此,如果您已经配置了该文件,则一切就绪。 否则,您可以将...
s3_utils:简单的 s3 模块,以便在 s3 上下载、上传、复制和删除文件
07-11
简单的 s3 模块,以便在 s3 上下载、上传、复制和删除文件。 它是aws-sdk的包装器。 安装 将此行添加到应用程序的 Gemfile 中: gem 's3_utils' 然后执行: $ bundle 或者自己安装: $ gem install s3_utils...
aws-s3-proxy:具有基本身份验证的AWS S3的反向代理
02-06
具有基本身份验证的AWS S3的反向代理 支持的标签和相应的Dockerfile链接: ・最新( )・ 2.0( )・ 1.4( )・ 1.4赢( )・ 1( ) 描述 这是AWS S3的反向代理,它也能够提供基本身份验证。 您无需为Website ...
(3) s3cmd get object 代码流程
wuyan6293的专栏
09-17 1158
ceph version 12.2.5 (cad919881333ac92274171586c827e01f554a70a) luminous (stable) s3cmd get 时的代码流程 get 代码调用流程 civetweb.c worker_thread: static void * worker_thread(void *thread_func_param) { ...
跨系统的分布式事务解决方案
最新发布
大张
04-08 538
项目中需要到图片上传的功能,对于非结构化的数据存储在S3中。于是设计了一个图片上传的方案。这个方案要求必须在用户上传的图片后,s3已经能获取到图片后才更新图片新的地址。
Amazon S3 功能介绍
weixin_30583563的博客
06-04 731
1 存储过程 创建用于存储数据元的桶,可以选择数据元所驻留的地区(目前来说,选择东京、新加坡会快些,美国本土更便宜),上传数据元到桶,进行持久化存储。另外,可以对上传的数据元及桶进行访问控制、加密等设置。每个AWS账户可以创建多个用户,用户可以对所拥有的数据进行上述权限控制。 目前可存储的你内容有: (1)多媒体、音乐、图片 (2)视频监控文件 (3)医疗系统...
Amazon S3 API操作示例-java
qq_18303491的博客
10-09 5618
amazon (S3) 是一个公开的服务,Web 应用程序开发人员可以使用它存储数字资产,包括图片、视频、音乐和文档等。除去aws本身的服务可以将一些内容直接存储到s3桶之外 ,在很多情况下,还需要使用s3桶和外部服务进行交互,比如下面一些场景: 场景一:配置使用aws服务产生的账单费用以文件的形式定期发送到s3桶,本地服务获取这些文件,生成新的账单或进行费用监控。 场景二:配置使用...
Aws s3 api
weixin_30600503的博客
12-20 469
PUT操作的这个实现将一个对象添加到一个bucket中。 您必须具有对bucket的WRITE权限才能向其中添加对象。Amazon S3从不添加部分对象; 如果您收到成功响应,则Amazon S3将整个对象添加到bucket中。Amazon S3是一个分布式系统。 如果它同时收到同一个对象的多个写入请求,它将覆盖除最后写入的所有对象外的所有请求。 Amazon S3不提供对象锁定; 如果你需要这个...
Access Control
anhuidelinger的专栏
08-18 1681
Access Control Topics Using IAM PoliciesUsing Bucket PoliciesUsing ACLsUsing ACLs and Bucket Policies TogetherUsing Query String Authentication Amazon S3 enables you to manage access
Ceph 配置URL访问s3 Bucket
夜雨狂歌如梦
08-03 4260
一、创建json文件,用于编辑policy,文件内容如下(Version并不重要),Action存在多种选择(如步骤三所示),并且允许同时选择多个,本文只是通过URL访问Bucket中的文件,因此只选择了s3:GetObject。 {      "Version": "2012-10-17",      "Statement": [          {              "Ef...
中小企业网络配置实践:VLAN、DHCP、ACL、DNS与路由设置
5. **访问控制列表(Access Control List, ACL)**:在S3上配置ACL,以限制VLAN2(业务部)和VLAN3(财务部)之间的访问,实现信息隔离,同时设定业务部可以访问内外网,而财务部只能访问内网。 6. **DNS服务器**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值