使用boto/boto3修改Amazon S3存储桶策略

Question

使用boto/boto3修改Amazon S3存储桶策略

6

我希望使用boto/boto3修改S3存储桶策略。我已经发现了boto3中的两种模式，可以对存储桶策略进行操作。

# i can get bucket policy object as follows
import boto3
s3_conn = boto3.resource('s3')
bucket_policy = s3_conn.BucketPolicy('bucket_name')
# i can make put(), load(), policy on bucket_policy object.

#similar in other way i can use following code
policy = s3_conn.get_bucket_policy(Bucket='bucket_name')
# similar to this there are two other calls put_bucket_policy and delete_bucket_policy.

我希望更新存储桶策略，以便添加更多属性。

例如，我想在以下策略的Statement键下添加一个条目。

{
    "Version": "2012-10-17",
    "Id": "Policy14564645656",
    "Statement": [{
        "Sid": "Stmt1445654645618",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::6164563645030:root"
        },
        "Action": "s3:Get*",
        "Resource": "arn:aws:s3:::bucket_name/abc/*"
    }]
}

有没有简单明了的方法来实现这个？一种非常奇怪的方法是在 JSON 中添加入口，然后将其作为新策略进行 PUT，但我正在寻找一种允许用户更新策略而不知道现有策略的调用方法。

- Rahul KP

3个回答

5

当前的boto3 API没有一个函数来追加存储桶策略，无论是添加另一个条目/元素/属性。您需要自己加载和操作JSON。例如，编写脚本将策略加载到字典中，追加“Statement”元素列表，然后使用policy.put替换整个策略。如果没有原始声明ID，则用户策略将被追加。但是，无法确定以后的用户策略是否会覆盖先前的规则。

例如

import boto3
s3_resource = boto3.resource('s3')
bucket_policy = s3_resource.BucketPolicy('bucket_name')

# Or use client to get Bucket policy
s3_client = boto3.client('s3')
policy = s3_client.get_bucket_policy(Bucket='bucket_name')

# assign policy using s3 resource 
user_policy = { "Effect": "Allow",... } 
new_policy =  policy['Statement'].append(user_policy)
bucket_policy.put(Policy=new_policy)

用户在使用过程中无需了解旧的政策。

- mootmoot

你需要一个Client()来调用get_bucket_policy。 - user615501

2

IAM没有提供一种更新策略的方法，而无需提供完整、有效的策略作为替换。您需要执行PUT操作，并传递原始策略名称。

- Jordon Phillips

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Hailong Li · Accepted Answer

我有一个类似的需求，需要以编程方式修改存储桶和KMS策略。我自己设计了一个将策略和语句作为对象处理的类。它被封装在一个名为'awspolicy'的pip包中 - https://github.com/totoleon/AwsPolicy 希望这能帮到你。以下是一个快速示例：

import boto3
from awspolicy import BucketPolicy

s3_client = boto3.client('s3')
bucket_name = 'hailong-python'

# Load the bucket policy as an object
bucket_policy = BucketPolicy(serviceModule=s3_client, resourceIdentifer=bucket_name)

# Select the statement that will be modified
statement_to_modify = bucket_policy.select_statement('AutomatedRestrictiveAccess')

# Insert new_user_arn into the list of Principal['AWS']
new_user_arn = 'arn:aws:iam::888888888888:user/daniel'
statement_to_modify.Principal['AWS'].append(new_user_arn)

# Save change of the statement
statement_to_modify.save()

# Save change of the policy. This will update the bucket policy
statement_to_modify.source_policy.save() # Or bucket_policy.save()