Jak skonfigurować uprawnienia do wiadra S3 na AWS
Istnieją dwa rodzaje uprawnień w wiadrze S3.
- Użytkownik
- Oparte na zasobach
W przypadku uprawnień opartych na użytkownikach powstaje zasady IAM, które określa poziom dostępu użytkownika IAM do wiader S3 i jego obiektów i jest dołączona do użytkownika IAM. Teraz użytkownik IAM ma dostęp tylko do określonych obiektów zdefiniowanych w polityce IAM.
Uprawnienia oparte na zasobach to uprawnienia przypisane do zasobów S3. Korzystając z tych uprawnień, możemy zdefiniować, czy ten obiekt S3 można uzyskać na wielu kont S3, czy nie. Istnieją następujące rodzaje zasad opartych na zasobach S3.
- Zasady wiadra
- Lista kontroli dostępu
W tym artykule opisano szczegółowe instrukcje skonfigurowania wiadra S3 za pomocą konsoli zarządzania AWS.
Uprawnienia oparte na użytkownikach
Uprawnienia oparte na użytkownikach to uprawnienia przypisane użytkownikowi IAM, które określają, czy użytkownik IAM ma dostęp do określonych obiektów S3, czy nie. W tym celu polityka IAM jest pisana i dołączona do użytkownika IAM.
W tej sekcji napisze zasady IAM w celu udzielania konkretnych uprawnień użytkownikowi IAM. Najpierw zaloguj się do konsoli zarządzania AWS i przejdź do usługi IAM.
Polityka IAM jest dołączona do użytkownika lub grupy użytkowników w IAM. Jeśli chcesz zastosować zasady IAM do wielu użytkowników, dodaj wszystkich użytkowników do grupy i dołącz zasady IAM do grupy.
W przypadku tego demonstracji dołączymy zasady IAM do jednego użytkownika. Z konsoli IAM kliknij użytkownicy z lewego panelu bocznego.
Teraz z listy użytkowników kliknij użytkownika, którego chcesz dołączyć zasady IAM.
Wybierz Uprawnienia zakładka i kliknij Dodaj zasady inline przycisk po prawej stronie zakładki.
Możesz teraz stworzyć zasadę IAM za pomocą edytora wizualnego lub pisząc JSON. Użyjemy edytora wizualnego do napisania polityki IAM dla tego demo.
Wybierzemy usługę, działania i zasoby od edytora wizualnego. Usługa to usługa AWS, dla której napiszymy zasadę. Do tego demo, S3 jest usługą.
Działania definiują dozwolone lub odrzucone działania, które można wykonać na S3. Jakbyśmy mogli dodać akcję Listbucket na S3, który umożliwi użytkownikowi IAM wymienienie wiader S3. Za tę wersję demo udzielimy tylko Lista I Czytać uprawnienia.
Zasoby określają, na które zasoby S3 wpłyną niniejsza polityka IAM. Jeśli wybierzemy określony zasób S3, ta zasady będzie miała zastosowanie tylko do tego zasobu. W przypadku tego demo wybierzemy wszystkie zasoby.
Po wybraniu usługi, akcji i zasobów kliknij teraz JSON karta i wyświetli rozszerzony JSON określający wszystkie uprawnienia. Zmienić Efekt z Umożliwić Do Zaprzeczyć odmówić określonych działań do określonych zasobów w polityce.
Teraz kliknij Polityka przeglądu przycisk w prawym dolnym rogu konsoli. Poprosi o nazwę polityki IAM. Wprowadź nazwę zasad i kliknij Utwórz politykę przycisk, aby dodać zasady inline do istniejącego użytkownika.
Teraz użytkownik IAM nie może wykonywać działań określonych w polityce IAM na wszystkich zasobach S3. Ilekroć IAM próbuje wykonać odmowę, otrzyma następujący błąd na konsoli.
Uprawnienia oparte na zasobach
W przeciwieństwie do zasad IAM, uprawnienia oparte na zasobach są stosowane do zasobów S3, takich jak wiadra i obiekty. W tej sekcji zobaczy, jak skonfigurować uprawnienia oparte na zasobach w wiadrze S3.
Zasady wiadra
Zasady wiadra S3 są wykorzystywane do udzielania uprawnień do wiadra S3 i jego obiektów. Tylko właściciel kubełka może utworzyć i skonfigurować zasady wiadra. Uprawnienia stosowane przez zasadę wiadra wpływają na wszystkie obiekty wewnątrz wiadra S3, z wyjątkiem obiektów należących do innych kont AWS.
Domyślnie, gdy obiekt z innego konta AWS jest przesyłany do twojego wiadra S3, jest własnością jego konta AWS (Writer Object). To konto AWS (Writer Object) ma dostęp do tego obiektu i może przyznać uprawnienia za pomocą ACLS.
Zasady wiadra S3 są zapisane w JSON, a uprawnienia można dodać lub odmówić obiektów wiader S3 za pomocą tych zasad. W tej sekcji napisze zasady Demo S3 Bucket i dołączy ją do wiadra S3.
Najpierw przejdź do S3 z konsoli zarządzania AWS.
Przejdź do wiadra S3, które chcesz zastosować politykę wiadra.
Idź do uprawnienia zakładka w wiadrze S3.
Przewiń w dół do Polityka kubełka sekcja i kliknij edytować przycisk w prawym górnym rogu sekcji, aby dodać zasadę wiadra.
Teraz dodaj następującą zasadę wiadra do wiadra S3. Ta przykładowa zasada wiadra zablokuje każde działanie na segmencie S3, nawet jeśli masz zasady IAM, które zapewnia dostęp do S3 dołączonego do użytkownika. w Ratunek pole polityki, zastąp Nazwa wiadra z nazwą S3 Bucket przed podłączeniem go do wiadra S3.
Aby napisać niestandardowe zasady S3 Bucket, odwiedź generator zasad AWS z następującego adresu URL.
https: // awspolicygen.S3.Amazonaws.com/polityka.html
„Wersja”: „2012-10-17”,
„ID”: „Policy-1”,
"Oświadczenie": [
„SID”: „Zasady blokowania całego dostępu na S3”,
„Efekt”: „Odmowa”,
"Główny": "*",
„Action”: „S3:*”,
„Zasób”: „Arn: AWS: S3 :::Nazwa wiadra/*"
]
Po załączeniu zasad S3 Bucket spróbuj teraz przesłać plik do wiadra S3, a wyrzuci następujący błąd.
Listy kontroli dostępu
Listy kontroli dostępu Amazon S3 Zarządzaj dostępem na poziomie obiektów S3 i S3. Każde wiadro S3 i obiekt ma powiązaną listę kontroli dostępu, a za każdym razem, gdy otrzymano żądanie, S3 sprawdza swoją listę kontroli dostępu i decyduje, czy uprawnienie zostanie przyznane, czy nie.
Ta sekcja skonfiguruje listę kontroli dostępu S3, aby S3 Bucket jest publiczna.
NOTATKA: Pamiętaj, aby nie mieć żadnych tajnych danych w segmencie przed przestrzeganiem tej sekcji, ponieważ będziemy publicznie upublicznić nasze S3 Bucket, a twoje dane będą narażone na publiczny Internet.
Najpierw przejdź do usługi S3 z konsoli zarządzania AWS i wybierz wiadro, dla którego chcesz skonfigurować listę kontroli dostępu. Przed skonfigurowaniem listy kontroli dostępu najpierw skonfiguruj dostęp do wiadra, aby umożliwić publiczny dostęp do wiadra.
W wiadrze S3 idź do uprawnienia patka.
Przewiń w dół do Zablokować dostęp publiczny sekcja w uprawnienia zakładka i kliknij edytować przycisk.
Otworzy różne opcje blokowania dostępu do różnych zasad. Odkształcić pola blokujące dostęp przyznany przez listę kontroli dostępu i kliknij Zapisz zmiany przycisk.
Z wadę S3 kliknij obiekt, który chcesz upublicznić i przejdź do karty Uprawy.
Kliknij na edytować przycisk w prawym rogu uprawnienia zakładka i zaznacz pola umożliwiające dostęp do każdego do obiektu.
Kliknij na Zapisz zmiany Aby zastosować listę kontroli dostępu, a teraz obiekt S3 jest dostępny dla każdego z Internetu. Przejdź do zakładki właściwości obiektu S3 (nie wiadra S3) i skopiuj adres URL obiektu S3.
Otwórz adres URL w przeglądarce i otworzy plik w przeglądarce.
Wniosek
AWS S3 można wykorzystać do umieszczania danych, które mogą być dostępne przez Internet. Ale jednocześnie mogą istnieć pewne dane, których nie chcesz wystawiać na świat. AWS S3 zapewnia konfigurację niskiego poziomu, którego można użyć do umożliwienia lub blokowania dostępu na poziomie obiektu. Możesz skonfigurować uprawnienia do kubełka S3 w taki sposób, że niektóre obiekty w wiadrze mogą być publiczne, a niektóre mogą być prywatne jednocześnie. W tym artykule zawiera istotne wskazówki dotyczące skonfigurowania uprawnień do wiadra S3 za pomocą konsoli zarządzania AWS.