Gibt es eine S3-Richtlinie für die Beschränkung des Zugangs nur unter/access einem Eimer?

Habe ich einen einfachen Eimer, der aussieht wie images.mysite.com auf meinem S3 und andere Eimer mit sicherungen, etc.

Möchte ich ermöglichen, einem bestimmten Benutzer Zugriff auf die images.mysite.com Eimer, um Bilder hochzuladen. Aber ich will ihn NICHT sehen, keiner von den anderen Eimern; nicht einmal, dass Sie existieren.

Konnte ich nicht machen, eine Politik, die das tut; jedes mal, wenn ich versuche etwas restriktiv, es endet die Blockierung der Einschluss von irgendwelchen Eimern.

InformationsquelleAutor der Frage Alex | 2011-07-07

  1. 115

    Ich habe versucht, dies für eine Weile und kam schließlich mit einer funktionierenden Lösung. Sie müssen verwenden unterschiedliche "Ressourcen" abhängig von der Art der Aktion, die Sie gerade ausführen. Auch hatte ich einige fehlenden Aktionen in der vorherigen Antwort (wie DeleteObject) und die Beschränkung einige mehr (wie PutBucketAcl).

    Folgende IAM-Richtlinie ist die Arbeit für mich jetzt:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:GetBucketLocation",
        "s3:ListBucketMultipartUploads"
      ],
      "Resource": "arn:aws:s3:::itnighq",
      "Condition": {}
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:AbortMultipartUpload",
        "s3:DeleteObject",
        "s3:DeleteObjectVersion",
        "s3:GetObject",
        "s3:GetObjectAcl",
        "s3:GetObjectVersion",
        "s3:GetObjectVersionAcl",
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:PutObjectVersionAcl"
      ],
      "Resource": "arn:aws:s3:::itnighq/*",
      "Condition": {}
    },
    {
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*",
      "Condition": {}
    }
  ]
}

    Die Handlungen in Bezug auf einen Eimer und diejenigen, die sich auf Objekte müssen unterschiedliche arn.

    InformationsquelleAutor der Antwort rogercampos

  2. 22

    Unseren Anwendungsfall: Bereitstellen von backup space für die Kunden unserer cloud-Anwendung zugreifen können, die die Kunden direkt mit gängigen S3-tools. Natürlich, kein Kunde sollte sehen, was andere Kunden haben.

    Als cloudberryman erklärt, "können Sie entweder die Liste aller buckets oder keine.", also wir haben zu kommen mit einer Arbeit um. Hintergrund:

    Gewährung ListAllMyBuckets Rechte für den Benutzer notwendig, so dass AWS-S3-Konsole oder S3Fox die Verbindung ohne eine Fehlermeldung. Aber ListAllMyBuckets listet alle Eimer, unabhängig von den zugeordneten Ressourcen (eigentlich nur arn:...:::* funktioniert). Das ist ein ernster Fehler, wenn Sie mich Fragen. Btw. leugnen ListBucket für alle Perioden nicht verhindern, dass Sie sich aufgeführt, als ListBucket erteilt Rechte zum auflisten der Eimer Inhalt.

    Gibt es 3 Möglichkeiten, die ich als umgehen. Ich wählte das Letzte.

    (1) verwenden Sie kryptische bucket-Namen, z.B. GUIDs

    Vorteil: einfach einzurichten

    Nachteil: schwierig zu handhaben, vor allem für den Kunden. (stellen Sie sich eine bestimmte GUID unter tausenden von anderen.) Zeigt auch der Anzahl der Gruppen = Anzahl der clients, die mit dem backup-service.

    (2) benutzen Sie einen Eimer mit client-spezifischen Ordner

    Dies ist, wie sich Amazon schlägt vor, durch Ihre S3/IAM Beispiele bieten Raum, um den Zugriff nur von bestimmten Benutzern oder Benutzergruppen. Siehe:
    AWS Beispiel IAM-Richtlinien

    Vorteil: relativ einfach einzurichten, geht mit AWS Ideen

    Nachteil: Kräfte, um die Existenz aller buckets öffentlich, so kann der client feststellen, Ihre "home" - Eimer. AWS accounting bietet eine Statistik der Eimer Gebrauchsspuren, aber nicht der Ordner Verwendung, was es schwierig macht, zu berechnen, Kosten der AUFTRAGGEBER.

    (3) nicht gewährt Zugang richtige für ListAllMyBuckets

    Vorteil: Sie bekommen, was Sie wollen: Kunden können nicht sehen, andere Kunden Eimer

    Nachteil: der client kann nicht sehen, seine oder Ihre eigenen Eimer. S3Browser kommt mit einem schönen "nicht" - Meldung und bittet für die bucket-Namen eingeben. S3Fox wirft eine Fehlermeldung, wenn die Verbindung an der Wurzel, sondern ermöglicht die direkte navigation zu den Kunden-Eimer, wenn der Eimer, der name ist bekannt. Amazon S3-Konsole funktioniert nicht bei allen.

    Hoffe, das half, zu verarbeiten S3, IAM, wie Sie es brauchen.

    InformationsquelleAutor der Antwort Andreas Stankewitz

  3. 19

    Versuchen, diese Politik. berücksichtigen Sie auch, dass es keine Möglichkeit, dass der Benutzer die Liste nur ausgewählte Eimer. Sie können entweder eine Liste aller buckets oder keine. 

    {
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:GetObjectAcl",
                "s3:PutObjectAcl",
                "s3:ListBucket",
                "s3:GetBucketAcl",
                "s3:PutBucketAcl",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::your_bucket_here/*",
            "Condition": {}
        },
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "*",
            "Condition": {}
        }
    ]
}

    InformationsquelleAutor der Antwort cloudberryman

  4. 11

    Ist es nicht möglich, den Zugriff auf die S3-Konsole, ohne die ListAllMyBuckets Berechtigung.

    In meinem Fall (und vielleicht auch deiner, zukünftigen Leser) eine akzeptable alternative zum umleiten von Benutzern auf sign in direkt in den Eimer, wie Sie sehen.

    Um dies zu erreichen, fügen Sie den folgenden, um Ihre IAM-Zeichen in der url:
    /s3/?bucket=bucket-name

    Vollständigen Anmelde-URL ein (ersetzen Sie Ihr-alias und bucket-Namen):

    https://your-alias.signin.aws.amazon.com/console/s3/?bucket=bucket-name

    IAM-Richtlinie (ersetzen bucket-Namen):

    {
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

    Weitere Informationen, wie Sie einen Eimer, die bestimmte Berechtigungen für die Benutzer, die diesen blog Lesen: http://mikeferrier.com/2011/10/27/granting-access-to-a-single-s3-bucket-using-amazon-iam/

    InformationsquelleAutor der Antwort BFar

  5. 6

    Bin ich der Interpretation, wie diese Frage: "Kann ich zulassen, Zugang zu einem Eimer, wo andere Eimer wird nicht zugänglich sein und somit unsichtbar." Da zeigt die Namen der Eimer zu denen kein Zugang gewährt wurde, noch entspricht, um Informationen Leckage.

    Und die richtige Antwort lautet: Nein. Die erforderliche Erlaubnis ist ListAllMyBuckets, die dem Benutzer erlauben, um zu sehen, ALLE Perioden. Das weglassen dieser Berechtigung wird die Konsole unbrauchbar.

    InformationsquelleAutor der Antwort Mo'in Creemers

  6. 5

    Es ist eine großartige Möglichkeit, damit Benutzer Zugriff auf einen bestimmten Eimer ohne aus wissen von anderen Eimer. Eine Konzern-Richtlinie, ist wie unten, können die Benutzer nur das sehen, "Eimer". Der einzige Haken ist, dass der Benutzer immer nur Zugriff auf den Eimer, wenn Sie eine Verbindung zu dem angegebenen bucket Endpunkt. Für das Beispiel unten wäre das bucket-a.s3.amazonaws.com. Der Eimer kann auch "Authentifizierte Benutzer" erlaubt für diese auftreten. 

    {
    "Statement": [
     {
         "Sid": "<EXAMPLE_SID>",
         "Action": [
           "s3:ListBucket",
           "s3:GetBucketLocation"
          ],
         "Effect": "Allow",
         "Resource": [
           "arn:aws:s3:::bucket-a"
         ]
     },
     {
      "Sid": "<EXAMPLE_SID>",
      "Action": "s3:*",
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::bucket-a/*"
      ]
     }
   ]
}

    Diese Methode wurde getestet mit Cyberduck auf Mac OS/X und mit der s3cmd-Paket

    ./s3cmd ls s3://bucket-a --access_key=ACCESS_KEY --secret_key=SECRET_KEY --bucket-locat
ion=ap-southeast-2

    InformationsquelleAutor der Antwort joevartuli

  7. 5

    Verwirrt darüber, warum keine Antwort überprüft wurde?

    Lassen Sie uns brechen jede politische Anweisung von oben-Lösungen:

    Diese Erklärung aus gilt für den Inhalt der Eimer, aber nicht den Dollar an sich. Dies ist wahrscheinlich nichtwas die Frage gebeten, weil Sie nicht sehen können, was in den Eimer.

    {
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:GetObjectAcl",
"s3:PutObjectAcl",
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:PutBucketAcl",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::your_bucket_here/*",
"Condition": {}
}

    Diese zwei statement-Politik abgeleitet von gibt readonly-Zugriff auf den Eimer in (arn:aws:s3:::your_bucket_here/) readonlyaber immer noch ermöglicht CRUD-ops auf den Eimer Inhalt (arn:aws:s3:::your_bucket_here/*).

    {
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetBucketLocation",
    "s3:ListBucketMultipartUploads"
  ],
  "Resource": "arn:aws:s3:::your_bucket_here",
  "Condition": {}
},
{
  "Effect": "Allow",
  "Action": [
    "s3:AbortMultipartUpload",
    "s3:DeleteObject",
    "s3:DeleteObjectVersion",
    "s3:GetObject",
    "s3:GetObjectAcl",
    "s3:GetObjectVersion",
    "s3:GetObjectVersionAcl",
    "s3:PutObject",
    "s3:PutObjectAcl",
    "s3:PutObjectAclVersion"
  ],
  "Resource": "arn:aws:s3:::your_bucket_here/*",
  "Condition": {}
}

    Jedoch die Richtlinie umfasst die folgenden Aussage, die es einem Benutzer ermöglicht, sehen alle Eimer auf dem Endpunkt. Dies ist wahrscheinlich nichtwas die Frage für.

    {
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "*",
"Condition": {}
}

    Allerdings sind die oben genannten sehr nützlich, wenn Sie einen client verwenden, der Browser (S3) speichern. Wenn der client greift auf den Speicher und nicht den Eimer direkt, so müssen Sie den Zugriff auf der Liste der Eimer an der Wurzel.

    InformationsquelleAutor der Antwort Donal Lafferty

  8. 3

    Wahrscheinlich die einfachste Anwendungsfall:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": ["arn:aws:s3:::bucket-name"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:DeleteObject"
      ],
      "Resource": ["arn:aws:s3:::bucket-name/*"]
    }
  ]
}

    InformationsquelleAutor der Antwort jjanczyszyn

  9. 3

    Gibt es einen einfachen Weg oder einen workaround, um dies zu tun, die mit AWS-Organisationen. AWS-Organisation ermöglicht es Ihnen, mehrere Benutzer-Konten. Deinem main account können mehrere AWS-Konten(Sub) und was auch immer-services(s3/EC2/*) Hinzugefügt werden, in welchen AWS-Konten nur die Ressourcen werden sichtbar.

    Entnehmen Sie bitte https://aws.amazon.com/blogs/aws/aws-organizations-policy-based-management-for-multiple-aws-accounts/
    https://aws.amazon.com/organizations/

    Organisation Auf der Mein Konto Seite

    InformationsquelleAutor der Antwort Shaik Ismail

  10. 2

    Konnte ich die folgenden arbeiten. Gemeint ist, dass die Liste andere Eimer erhalten Sie die Meldung " Zugriff Verweigert. Aber war noch in der Lage zu sehen, die Eimer, den ich wollte, wenn ich die Verbindung mit dem bucket-Namen, legen Sie als Pfad.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets"
      ],
      "Resource": "arn:aws:s3:::test"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": ["arn:aws:s3:::test"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:DeleteObject"
      ],
      "Resource": ["arn:aws:s3:::test/*"]
    }
  ]
}

    War ich mit Cyberduck testen dieser Verbindung.

    InformationsquelleAutor der Antwort codeplay

  11. 1

    Es ist zwar nicht möglich, den s3:ListAllMyBuckets Aktion auf bestimmte Eimern, als für Abhilfe können Sie diese senden Konsole-URL für bestimmte Eimer, z.B.

    • https://s3.console.aws.amazon.com/s3/buckets/BUCKET_NAME/

    Quelle: Einschränkende Liste von S3-buckets aus dem S3-Konsole

    Um dies zu tun, müssen Sie zum angeben der folgenden politischen Dokuments für den angegebenen Benutzer oder die Gruppe:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket-1",
                "arn:aws:s3:::my-bucket-2"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:GetObjectVersionAcl",
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:PutObjectVersionAcl"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket-1/*",
                "arn:aws:s3:::my-bucket-2/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": "arn:aws:s3:::*"
        }
    ]
}

    Wo my-bucket-1 und my-bucket-2 sind Ihre Eimer zu geben, den lese-und Schreibzugriff.

    Verwandte:

    InformationsquelleAutor der Antwort kenorb

  12. 1

    Als es wurde auch darüber diskutiert, Auflistung nur ein Eimer auf Konsole ist nicht möglich. Aber wenn S3-bucket, den Zugang an ein IAM, IAM kann direkt auf den Eimer, wenn URL-Eimer erhältlich ist.
    S3-bucket-url wie:

    https://s3.console.aws.amazon.com/s3/buckets/BucketName

    Wo BucketName ist der name der Glocke, IAM hat Zugang zu

    InformationsquelleAutor der Antwort Ishan Tomar

  14. 0

    Die Lösung FALTENBALG für mich gearbeitet. Ich wollte eine Politik, gewähren von Zugriff auf einen bestimmten Benutzer my_iam_user auf einem bestimmten bucket meine-s3-bucket.

    Dieser Richtlinie zulassen, dass mein Benutzer-Liste, löschen, abrufen von e legen Sie Dateien auf einem bestimmten s3-bucket.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListBucket",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/my_iam_user"
            },
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::my-s3-bucket"
        },
        {
            "Sid": "AddDeleteFiles",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/my_iam_user"
            },
            "Action": [
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::my-s3-bucket/*"
        }
    ]
}

    InformationsquelleAutor der Antwort Carlos Coelho

  15. 0

    Ich fügen Sie einfach ein ähnliches Bedürfnis, gelöst von :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:Get*",
            "s3:Put*",
            "s3:DeleteObject",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::my-bucket-name",
            "arn:aws:s3:::my-bucket-name/*"
        ]
    }
  ]
}

    InformationsquelleAutor der Antwort Xavinsky

  16. 0

    Verwende ich die folgenden Sachen zu verstecken Eimer Inhalt von anderen Nutzern. Dies hilft nicht nur, sich zu verstecken andere Eimer (nicht verwenden, ListAllMyBuckets), aber auch Ordner in den gleichen Eimer, wenn Sie einen Eimer, sondern wollen Unterordner in der Sie die Zuordnung richtigen Berechtigungen für die IAM-Benutzer/Unterordner.

    Folgende Richtlinie für IAM-Gruppe und alle Benutzer sind in dieser Gruppe. Sie müssen nehmen aws:userid und machen Sie einen Unterordner mit dem gleichen Namen in den Eimer.

    UserID genommen werden kann: aws iam get-user --user-name "user_name_for_folder_access":

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name/${aws:userid}/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name"
            ]
        }
    ]
}

    InformationsquelleAutor der Antwort Andrii Starikov

  17. 0

    Dies funktionierte perfekt für mich . Benutzer können hochladen, Herunterladen und erhalten die Liste der Dateien, aber nicht in der Lage, um zu sehen, Dateien aus anderen Eimer. 

     {    

"Statement": [    

{
    "Effect": "Allow",
    "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:GetObjectAcl",
        "s3:PutObjectAcl",
        "s3:ListBucket",
        "s3:GetBucketAcl",
        "s3:PutBucketAcl",
        "s3:GetBucketLocation"
    ],
    "Resource": "arn:aws:s3:::mybucketname/*",
    "Condition": {}
},
{
    "Effect": "Allow",
    "Action": "s3:ListAllMyBuckets",
    "Resource": "*",
    "Condition": {}
},
{
    "Effect": "Deny",
    "Action": [
        "s3:DeleteBucket",
        "s3:DeleteBucketPolicy",
        "s3:DeleteBucketWebsite",
        "s3:DeleteObject",
        "s3:DeleteObjectVersion"
    ],
    "Resource": "arn:aws:s3:::mybucketname/*",    

    "Condition": {}    

}
]
}

    InformationsquelleAutor der Antwort s. tait

  18. 0

    Eine schöne einfache Lösung, wir kamen mit, um sperren der Benutzer-login auf dem root-Verzeichnis. So müssen Sie die Anmeldung mit remote-Pfad zum gewünschten Ordner. 

     {
"Statement": [
    {
        "Effect": "Allow",
        "Action": "s3:*",
        "Resource": "arn:aws:s3:::folder-name*",
        "Condition": {}
    }
]
}

    InformationsquelleAutor der Antwort THRIVE

  19. 0

    Nein, es ist nicht derzeit möglich zu begrenzen, die Benutzer zum anzeigen selektiv Eimer unter root oder sonst irgendwo. Sie haben nur diese 3 Optionen jetzt.

    Wählte ich bitten, den client zu verwenden, der bucket-name explizit.

    InformationsquelleAutor der Antwort foggy_glasses

  20. -1

    Hinzufügen Deny Klausel für den Eimer(s) Sie nicht wollen, um Zugriff. Denken Sie daran, dass Sie vielleicht immer noch aufgelistet, aber Sie werden nicht in der Lage, Zugriff auf den Inhalt in Ihnen.

    { 
"Version": "2012-10-17", 
"Statement": [ 
{ 
"Effect": "Allow", 
"Action": "s3:*", 
"Ressource": "*" 
}, 
{ 
"Effekt": "Verweigern", 
"Action": "s3:*", 
"Ressource": [ 
"arn:aws:s3:::bucket-name", 
"arn:aws:s3:::bucket-name/*" 
] 
} 
] 
}

    InformationsquelleAutor der Antwort treecoder

  21. -1
    • Den Benutzer erstellen.
    • Klicken Sie auf den erstellten Benutzer unter IAM-Management-Bildschirm.
    • Klicken Sie auf Berechtigungen hinzufügen.
    • klicken Sie auf Anfügen, bestehende Policen direkt.
    • klicken Sie auf die Option Richtlinie erstellen aus.
    • wählen Sie json, fügen Sie unten json ersetzen bucket_name mit Ihrem Eimer Namen.
    • Dies ermöglicht es, dass bestimmte Benutzer anzeigen,die put-und get-Objekte, die Eimer nur.

    {

    {"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::bucket_name"
        ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "s3:PutObject",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::bucket_name/*"
        ]
    }
]}

    }

    InformationsquelleAutor der Antwort vinay

Schreibe einen Kommentar