我在我的AWS账户中有很多S3存储桶。但现在我创建了一个IAM用户和一个新的S3存储桶,我想让这个用户能够使用像CyberDuck这样的客户端来访问新的S3存储桶。
我尝试创建了很多策略。但是之后这个用户可以获得列出我所有其他存储桶的权限。如何只给予一个S3存储桶的列出和写入权限?
创建一个单独的IAM用户,只能访问特定的S3存储桶。
11
- Sruthin Kumar TK
1
2无法仅返回一个存储桶,以限制查看存储桶名称列表的权限。要么可以列出所有存储桶名称,要么不列出任何存储桶名称。但是,您可以在每个存储桶上基于每个存储桶的方式限制权限。 - John Rotenstein
5个回答
10
首先,您需要创建一个允许访问单个S3存储桶的策略(IAM->策略->创建策略)。您可以使用AWS策略生成器(http://awspolicygen.s3.amazonaws.com/policygen.html),它应该看起来像这样:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1528735049406",
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:HeadBucket",
"s3:ListBucket",
"s3:ListObjects",
"s3:PutObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::YOURBUCKETNAME"
}
]
}
保存策略并记下您给它的名称,然后转到IAM -> 用户并选择所需的用户。在权限选项卡中,单击“添加权限”,然后选择顶部附近的“直接附加现有策略”。通过其名称找到您的策略,选中其复选框并完成该过程。
- marekful
3
1谢谢您的回复。但不幸的是,当我通过客户端使用S3时,出现了“访问被拒绝”的错误。 - Sruthin Kumar TK
5尝试:
"Resource": ["arn:aws:s3:::YOURBUCKETNAME", "arn:aws:s3:::YOURBUCKETNAME/*"] - John Rotenstein访问S3时,必须使用API访问密钥。在IAM中选择用户,并在“安全凭证”选项卡中使用“创建访问密钥”。 - marekful
3
根据此博客(https://aws.amazon.com/blogs/security/writing-iam-policies-grant-access-to-user-specific-folders-in-an-amazon-s3-bucket/),他们需要至少能够列出所有存储桶。除此之外,该博客还提供了一个示例策略,昨晚我在自己的帐户中使用了它,所以我可以确认它有效。
更新: 好的,我已经使用CyberDuck测试并确认,以下策略(当然要针对您的环境进行自定义)将防止用户查看所有根存储桶,并仅允许他们访问您指定的存储桶:
请确保在CyberDuck中指定路径时,将其输入为:
此外,仅在这种情况下启动无限制访问,以确保它对您起作用(因为访问似乎是一个问题)。之后,请应用限制,您知道...最小权限和所有。
更新: 好的,我已经使用CyberDuck测试并确认,以下策略(当然要针对您的环境进行自定义)将防止用户查看所有根存储桶,并仅允许他们访问您指定的存储桶:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAllInBucket",
"Action": [
"s3:*"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::bucket-for-single-user"
}
]
}
请确保在CyberDuck中指定路径时,将其输入为:
bucket-for-single-user.s3.amazonaws.com。此外,仅在这种情况下启动无限制访问,以确保它对您起作用(因为访问似乎是一个问题)。之后,请应用限制,您知道...最小权限和所有。
- thisAaronMdev
6
@thisAronMdev 谢谢。但是请再为此 IAM 用户列出我所有的其他存储桶。 - Sruthin Kumar TK
@SruthinKumarTK 当然可以,但是一旦列出来,他们能查看其他存储桶的内容吗?还是只能查看你授权访问的那个存储桶的内容? - thisAaronMdev
@SruthinKumarTK 好的,我已经根据我最初链接的URL中的信息更新了我的答案,并提供了一个可行的策略。我已经测试过它,所以我知道它可以按照你想要的方式工作(至少对我来说是这样)。 - thisAaronMdev
我已更新我的策略,但打开Cyber-Duck时仍然收到访问被拒绝的消息。 - Sruthin Kumar TK
- 你在CyberDuck中是否将存储桶名称指定为BUCKETNAME.s3.amazonaws.com?
- 在创建策略时,您是否确保将其附加到用户或用户关联的组/角色(并暂时取消附加任何其他策略)?
- 您是否确认访问密钥ID和秘密访问密钥对于该用户是正确且有效的?如果以上所有问题都回答“是”,那么我想不出还有什么问题了,但可能会有其他人知道。
感谢@thisAaronMdev的回复。最终,我创建了自己的策略,并在此处发布。 - Sruthin Kumar TK
2
根据Cyberduck Help / Howto / Amazon S3,它支持直接输入Bucket名称,格式为
此IAM策略将允许完全控制所有内容(即在Bucket中的内容),而不控制S3 Bucket子资源(即Bucket本身)。
如果您并非特意尝试将IAM用户锁定在每个可能的公共S3存储桶之外,则可以留下“DenyAllOthers”
顺便提一下,AWS的
<bucketname>.s3.amazonaws.com。如果您使用的客户端支持此功能,则不需要s3:ListAllMyBuckets权限。
Action应按其可以解析的Resource进行分组(Conditions也可能因Action而异)。此IAM策略将允许完全控制所有内容(即在Bucket中的内容),而不控制S3 Bucket子资源(即Bucket本身)。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "BucketOperations",
"Effect": "Allow",
"Action": "s3:ListBucket*",
"Resource": "arn:aws:s3:::<bucketname>"
},
{
"Sid": "ObjectOperations",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:ListMultipartUploads",
"s3:DeleteObject*",
"s3:GetObject*",
"s3:PutObject*"
],
"Resource": "arn:aws:s3:::<bucketname>/*"
},
{
"Sid": "DenyAllOthers",
"Effect": "Deny",
"Action": "s3:*",
"NotResource": [
"arn:aws:s3:::<bucketname>",
"arn:aws:s3:::<bucketname>/*"
]
}
]
}
如果您并非特意尝试将IAM用户锁定在每个可能的公共S3存储桶之外,则可以留下“DenyAllOthers”
Sid,而无需向用户授予其他权限。顺便提一下,AWS的
ReadOnlyAccess策略会自动向其附加的任何内容授予s3:*。我建议使用ViewOnlyAccess(这将不幸地授予s3:ListAllMyBuckets而没有DenyAllOthers)。- Sean Summers
0
创建自己的策略并为我工作。IAM用户只能列出所有存储桶,但不能对其他存储桶进行任何操作。用户只能获得对特定存储桶的读取、写入、删除文件权限访问。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<EXAMPLE_SID>",
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::<MYBUCKET>"
},
{
"Sid": "<EXAMPLE_SID>",
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "*"
}, {
"Sid": "<EXAMPLE_SID>",
"Effect": "Deny",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::<MYotherBUCKET>"
}, {
"Sid": "<EXAMPLE_SID>",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": "arn:aws:s3:::<MYBUCKET>/*"
}
]
}
然后也将此策略添加到此用户。该策略将限制对列出的其他S3存储桶的所有类型操作。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<EXAMPLE_SID>",
"Effect": "Deny",
"Action": [
"s3:PutAnalyticsConfiguration",
"s3:GetObjectVersionTagging",
"s3:CreateBucket",
"s3:ReplicateObject",
"s3:GetObjectAcl",
"s3:DeleteBucketWebsite",
"s3:PutLifecycleConfiguration",
"s3:GetObjectVersionAcl",
"s3:PutBucketAcl",
"s3:PutObjectTagging",
"s3:DeleteObject",
"s3:GetIpConfiguration",
"s3:DeleteObjectTagging",
"s3:GetBucketWebsite",
"s3:PutReplicationConfiguration",
"s3:DeleteObjectVersionTagging",
"s3:GetBucketNotification",
"s3:PutBucketCORS",
"s3:DeleteBucketPolicy",
"s3:GetReplicationConfiguration",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:GetObject",
"s3:PutBucketNotification",
"s3:PutBucketLogging",
"s3:PutObjectVersionAcl",
"s3:GetAnalyticsConfiguration",
"s3:GetObjectVersionForReplication",
"s3:GetLifecycleConfiguration",
"s3:ListBucketByTags",
"s3:GetInventoryConfiguration",
"s3:GetBucketTagging",
"s3:PutAccelerateConfiguration",
"s3:DeleteObjectVersion",
"s3:GetBucketLogging",
"s3:ListBucketVersions",
"s3:ReplicateTags",
"s3:RestoreObject",
"s3:GetAccelerateConfiguration",
"s3:GetBucketPolicy",
"s3:PutEncryptionConfiguration",
"s3:GetEncryptionConfiguration",
"s3:GetObjectVersionTorrent",
"s3:AbortMultipartUpload",
"s3:PutBucketTagging",
"s3:GetBucketRequestPayment",
"s3:GetObjectTagging",
"s3:GetMetricsConfiguration",
"s3:DeleteBucket",
"s3:PutBucketVersioning",
"s3:PutObjectAcl",
"s3:ListBucketMultipartUploads",
"s3:PutMetricsConfiguration",
"s3:PutObjectVersionTagging",
"s3:GetBucketVersioning",
"s3:GetBucketAcl",
"s3:PutInventoryConfiguration",
"s3:PutIpConfiguration",
"s3:GetObjectTorrent",
"s3:ObjectOwnerOverrideToBucketOwner",
"s3:PutBucketWebsite",
"s3:PutBucketRequestPayment",
"s3:GetBucketCORS",
"s3:PutBucketPolicy",
"s3:GetBucketLocation",
"s3:ReplicateDelete",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::<MYotherBUCKET>/*",
"arn:aws:s3:::<MYotherBUCKET>"
]
}
]
}
- Sruthin Kumar TK
2
很高兴它对你有用,但是你使用两个不同的策略而不是简单地执行
"Effect": "Deny","Action": "s3:*","Resource": "arn:aws:s3:::<MYotherBUCKET>",有什么原因呢?如果它按照你的方式工作,那就没问题了,但更加简洁肯定是更好的选择。 - thisAaronMdev当我使用类似于
"Effect": "Deny","Action": "s3:*","Resource": "arn:aws:s3:::<MYotherBUCKET>" 的语句时,我遇到了访问被拒绝的错误。因此,我创建了两个策略。 - Sruthin Kumar TK0
最近我使用了亚马逊的文档,成功地让它工作了。对我来说关键是将IAM用户指向特定的存储桶而不是S3控制台。根据文档,“警告:更改这些权限后,用户在访问主要的Amazon S3控制台时会收到拒绝访问的错误信息。主控制台链接类似于以下链接:”
https://s3.console.aws.amazon.com/s3/home
相反,用户必须使用 直接控制台链接到存储桶 来访问桶,类似于以下内容:
https://s3.console.aws.amazon.com/s3/buckets/awsexamplebucket/"
我的政策如下:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1589486662000",
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::AWSEXAMPLEBUCKET",
"arn:aws:s3:::AWSEXAMPLEBUCKET/*"
]
}
]
}
- JJAN
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 16 AWS S3 IAM基于标签授权访问存储桶
- 4 访问由另一个用户创建的S3存储桶
- 3 如何创建一个 S3 存储桶,拥有完全访问权限的 IAM 用户,并将用户凭据传递给我的应用程序?
- 3 使用IAM配置文件创建实例后无法访问S3存储桶
- 3 如何为多个IAM用户设置S3策略,以便每个人只能访问其个人存储桶文件夹?
- 5 允许用户池中的Cognito用户访问S3存储桶的存储桶策略
- 4 AWS:限制IAM用户只能访问S3 Bucket中的特定文件夹
- 7 Amazon S3存储桶和文件夹的IAM访问策略是什么?
- 9 AWS S3存储桶的基本IAM权限
- 4 如何使用IAM策略授予只有根账户用户访问S3存储桶的权限?