alp*_*ogg 7 amazon-s3 amazon-iam amazon-policy
我需要发布预签名的URL,以允许用户将GET和PUT文件放入特定的S3存储桶中。我创建了一个IAM用户,并使用其键来创建预签名的URL,并在该用户中添加了嵌入的自定义策略(请参见下文)。使用生成的URL时,我的AccessDenied策略出现错误。如果我将FullS3Access策略添加到IAM用户,则文件可以是具有相同URL的GET或PUT,因此很明显,缺少我的自定义策略。怎么了
这是我使用的自定义策略无法正常工作:
{
"Statement": [
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::MyBucket"
]
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:DeleteBucketPolicy",
"s3:DeleteObject",
"s3:GetBucketPolicy",
"s3:GetLifecycleConfiguration",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:PutBucketPolicy",
"s3:PutLifecycleConfiguration",
"s3:PutObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::MyBucket/*"
]
}
]
}
我还在研究使用预签名 GET 和放置 URL 的功能,特别是通过与 AWS Lambda 函数关联的角色。不过,我发现了一些问题,因为我还需要允许使用对存储桶进行加密的 KMS 密钥的权限。
我偶然发现了这篇人迹罕至的文章,它为我指明了正确的方向。不需要为 URL 预签名允许存储桶级别的权限,只需要少数对象级别的权限。
简而言之,我支持预签名 URL 的 lambda 角色策略如下所示。请注意,cloudwatch 日志权限与签名无关,但通常对 lambda 函数很重要:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:*",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "<my-bucket-arn-expression>/*",
"Effect": "Allow"
},
{
"Sid": "KMSAccess",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:ReEncrypt*"
],
"Effect": "Allow",
"Resource": "<my-key-arn>"
}
]
}
如果您使用内置 AES 加密(或不加密),您的策略可以简化为:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:*",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "<my-bucket-arn-expression>/*",
"Effect": "Allow"
}
]
}
这是适用于我的预签名 S3 URL 的 IAM 策略。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::mydocs/*"
}
]
}
我想知道你的问题是否在Resource部分。您MyBucket总是对存储桶提出 GET 请求吗?
存储桶权限与对象权限
您的策略中的以下权限应位于存储桶级别 ( arn:aws:s3:::MyBucket),而不是存储桶内的子路径(例如arn:aws:s3:::MyBucket/*):
请参阅:在策略中指定权限
但是,这并不是您无法 PUT 或 GET 文件的原因。
得到
您已分配GetObject权限这一事实意味着您应该能够从 S3 存储桶获取对象。我通过将您的策略分配给用户,然后使用该用户的凭据访问对象来测试这一点,并且它工作正常。
放
我还使用您的政策通过网络表单上传,并且工作正常。
这是我用来上传的表格:
<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>S3 POST Form</title>
<style type="text/css"></style></head>
<body>
<form action="https://<BUCKET-NAME>.s3.amazonaws.com/" method="post" enctype="multipart/form-data">
<input type="hidden" name="key" value="uploads/${filename}">
<input type="hidden" name="AWSAccessKeyId" value="<ACCESS-KEY>">
<input type="hidden" name="acl" value="private">
<input type="hidden" name="success_action_redirect" value="http://<BUCKET-NAME>.s3.amazonaws.com/ok.html">
<input type="hidden" name="policy" value="<ENCODED-POLICY>">
<input type="hidden" name="signature" value="<SIGNATURE>">
<input type="hidden" name="Content-Type" value="image/jpeg">
<!-- Include any additional input fields here -->
File to upload to S3:
<input name="file" type="file">
<br>
<input type="submit" value="Upload File to S3">
</form>
这是我生成签名的方法:
#!/usr/bin/python
import base64
import hmac, hashlib
policy_document = '{"expiration": "2018-01-01T00:00:00Z", "conditions": [ {"bucket": "<BUCKET-NAME>"}, ["starts-with", "$key", "uploads/"], {"acl": "private"}, {"success_action_redirect": "http://BUCKET-NAME.s3.amazonaws.com/ok.html"}, ["starts-with", "$Content-Type", ""], ["content-length-range", 0, 1048000] ] }'
AWS_SECRET_ACCESS_KEY = "<SECRET-KEY>"
policy = base64.b64encode(policy_document)
signature = base64.b64encode(hmac.new(AWS_SECRET_ACCESS_KEY, policy, hashlib.sha1).digest())
print policy
print
print signature
| 归档时间: |
|
| 查看次数: |
5799 次 |
| 最近记录: |