那些遇到过的问题

IAM AWS S3限制到特定的子文件夹

rom*_*nio 5 amazon-s3 amazon-web-services

我正在使用AWS S3组件来存储文件.

我有一个名为" mybucket " 的存储桶,其中包含以下文件夹:

+---Mybucket
\---toto1
\---toto2
+---toto3
|   \--- subfolder
|       \---subsubfolder
\---toto4
Run Code Online (Sandbox Code Playgroud)

我有AWS控制台用户,只需要访问"toto3"文件夹.

我试图限制对此文件夹的访问,但用户必须有权列出存储桶的根目录.如果我提供额外的权限来访问根文件夹,用户可以浏览"toto1"和"toto2"文件夹,我不想要.

我想配置类似的东西:

  • 授权列出我的S3帐户的所有存储桶(listAllBuckets策略)
  • 自动化以列出存储桶的根目录(如果用户看到目录名称,则对我来说没问题)
  • 拒绝所有前缀桶与"toto3"不同的访问权限
  • 在toto3文件夹中自动调整用户的每个操作
  • 我不想写一个包容性的规则

我尝试了这个IAM策略但没有成功:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": ["arn:aws:s3:::mybucket/toto3/*"]
        },
        {
            "Sid": "Stmt1457617383000",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": ["arn:aws:s3:::mybucket"]
        },
        {
            "Sid": "Stmt1457617230000",
            "Effect": "Deny",
            "Action": ["s3:*"],
            "Condition": {
                "StringNotLike": {
                    "s3:prefix": "toto3*"
                }
            },
            "Resource": [
                "arn:aws:s3:::mybucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
Run Code Online (Sandbox Code Playgroud)

Joh*_*ein 14

这是一个适合您的政策:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::mybucket/toto3/*"
            ]
        },
        {
            "Sid": "Stmt1457617230000",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "",
                        "toto3/"
                    ]
                }
            },
            "Resource": [
                "arn:aws:s3:::mybucket*"
            ]
        }
    ]
}
Run Code Online (Sandbox Code Playgroud)

细节:

  • ListAllMyBuckets是控制台所必需的.它显示了所有存储桶的列表.
  • toto3/路径中允许的任何操作.
  • ListBucket(检索对象列表)允许在存储桶的根目录和toto3/路径中.

我成功测试了这个解决方案

AWS文档参考:允许用户访问Amazon S3中的个人"主目录"

  • @WM 不,这是不正确的,如果您使用 ls --recursive 它会给您存储桶中的整个文件列表,这显然不是想要的隔离行为 (2认同)

归档时间:

查看次数:

4307 次

最近记录:

6 年,2 月 前
相关归档
使用Django的Amazon SES SMTP 28
使用Boto3与RDS上的amazon Aurora进行交互 12
基于身份的策略中使用的 PolicyStatement 无法指定任何 IAM 委托人错误 9
适用于文件夹的Amazon S3生命周期规则 8
使用浏览器 JavaScript SDK 检查 AWS S3 上是否存在文件? 6
可以/将AWS API网关 - > Lambda性能得到改善吗? 6
公共存储桶中的公共 S3 对象 6
将持久化的 keras 模型写入 s3 5
AWS EKS - 节点组更新实例类型 5
AppSync S3Object检索 3
难疑归档
检测未定义的对象属性 2742
如何决定何时使用Node.js? 2198
O(log n)究竟意味着什么? 2021
喜欢构成而不是继承? 1538
<meta charset ="utf-8"> vs <meta http-equiv ="Content-Type"> 1499
你怎么读斯坦丁? 1389
如何在Vim中移动到行尾? 1140
如何使用git merge --squash? 1101
按ID删除元素 1085
"正确"的JSON日期格式 1071