创建单个 IAM 用户以仅访问特定的 S3 存储桶
Posted
技术标签:
【中文标题】创建单个 IAM 用户以仅访问特定的 S3 存储桶【英文标题】:Create a single IAM user to access only specific S3 bucket 【发布时间】:2018-06-11 16:32:30 【问题描述】:我的 AWS 账户中有许多 S3 存储桶。但现在我创建了一个 IAM 用户和一个新的 S3 存储桶,我想让这个用户能够使用 CyberDuck 之类的客户端访问新的 S3 存储桶。
我试图制定这么多政策。但在那之后,这个用户也获得了列出我所有其他存储桶的权限。如何授予对单个 S3 存储桶的列出和写入权限?
【问题讨论】:
查看bucket名称列表的权限不能限制为只返回一个bucket。他们可以列出所有个存储桶名称,或者没有个存储桶名称。但是,您可以在每个存储桶的基础上限制在存储桶内的权限。 【参考方案1】:首先,您创建一个策略以允许访问单个 S3 存储桶(IAM -> 策略 -> 创建策略)。您可以使用 AWS 策略生成器 (http://awspolicygen.s3.amazonaws.com/policygen.html),它应该如下所示:
"Version": "2012-10-17",
"Statement": [
"Sid": "Stmt1528735049406",
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:HeadBucket",
"s3:ListBucket",
"s3:ListObjects",
"s3:PutObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::YOURBUCKETNAME"
]
保存策略并记下您为其指定的名称,然后转到 IAM -> 用户并选择所需的用户。在权限选项卡中,单击“添加权限”,然后选择顶部附近的“直接附加现有策略”。按名称查找您的政策,勾选其复选框并完成该过程。
【讨论】:
感谢您的回复。但不幸的是,当我通过客户端使用 s3 时,出现“访问被拒绝错误” 尝试:`"Resource": ["arn:aws:s3:::YOURBUCKETNAME", "arn:aws:s3:::YOURBUCKETNAME/*"] 使用客户端程序访问 S3 时,必须使用 API 访问密钥。在 IAM 中选择用户并使用“安全凭证”选项卡中的“创建访问密钥”。【参考方案2】:根据这个(https://aws.amazon.com/blogs/security/writing-iam-policies-grant-access-to-user-specific-folders-in-an-amazon-s3-bucket/)
他们至少需要能够列出所有存储桶。但除此之外,这还提供了一个示例策略,我昨晚刚刚将它用于我自己的帐户,因此我可以确认它有效。
更新 好的,我已经使用 CyberDuck 进行了测试并确认,以下策略(当然是根据您的环境定制的)将阻止用户查看所有根存储桶,并且只允许他们访问您指定的存储桶:
"Version": "2012-10-17",
"Statement": [
"Sid": "AllowAllInBucket",
"Action": [
"s3:*"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::bucket-for-single-user"
]
只需确保在 CyberDuck 中指定路径时,输入为:bucket-for-single-user.s3.amazonaws.com。
另外,只有开始这样不受限制,只是为了确保它对您有用(因为访问似乎是一个问题)。之后,应用限制,你知道...最小权限等等。
【讨论】:
@thisAronMdev 谢谢。但再次列出我所有其他存储桶也适用于这个 IAM 用户 @SruthinKumarTK 当然,但是一旦列出,他们可以查看其他存储桶的内容还是仅查看您授予他们访问权限的存储桶的内容? @SruthinKumarTK 好的,根据我最初链接的 URL 中的信息,用可行的策略更新了我的答案。我已经对其进行了测试,所以我知道它可以按照您想要的方式工作(至少对我而言)。 我已经像这样更新了我的政策。打开 Cyber-Duck 时,我收到拒绝访问消息 1) 您是否在 CyberDuck 中将存储桶名称指定为 BUCKETNAME.s3.amazonaws.com,2) 在创建策略时,您是否确保将其附加到用户或组/角色用户关联(以及现在分离任何其他策略),3)您是否确认访问密钥 ID 和秘密访问密钥对用户正确且有效?如果以上所有都是肯定的,那么我想不出还有什么可能是错的,但其他人可能会。【参考方案3】:根据Cyberduck Help / Howto / Amazon S3,支持直接输入Bucket名称,如<bucketname>.s3.amazonaws.com。如果您使用的客户端可以做到这一点,则不需要s3:ListAllMyBuckets 权限。
Action应该按它们可以解析的Resource分组 (每个操作的条件也可能不同)。
此 IAM 策略将允许完全控制所有内容(又名 存储桶中) 不控制 S3 存储桶子资源(也称为存储桶的 ):
"Version": "2012-10-17",
"Statement": [
"Sid": "BucketOperations",
"Effect": "Allow",
"Action": "s3:ListBucket*",
"Resource": "arn:aws:s3:::<bucketname>"
,
"Sid": "ObjectOperations",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:ListMultipartUploads",
"s3:DeleteObject*",
"s3:GetObject*",
"s3:PutObject*"
],
"Resource": "arn:aws:s3:::<bucketname>/*"
,
"Sid": "DenyAllOthers",
"Effect": "Deny",
"Action": "s3:*",
"NotResource": [
"arn:aws:s3:::<bucketname>",
"arn:aws:s3:::<bucketname>/*"
]
]
如果您不是专门尝试将 IAM 用户锁定在每个
可能的公共 S3 存储桶,您可以关闭“DenyAllOthers”Sid,
而不授予用户额外的权限。
仅供参考,AWS ReadOnlyAccess 策略自动将 s3:* 提供给
它附着的任何东西。我推荐ViewOnlyAccess(这将
不幸的是,在没有 DenyAllOthers 的情况下授予 s3:ListAllMyBuckets。
【讨论】:
【参考方案4】:制定我自己的政策并为我工作。 IAM 用户可以只列出所有存储桶。但不能在另一个桶上做任何事情。用户只能访问具有读、写、删除文件权限的特定存储桶。
"Version": "2012-10-17",
"Statement": [
"Sid": "<EXAMPLE_SID>",
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::<MYBUCKET>"
,
"Sid": "<EXAMPLE_SID>",
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "*"
,
"Sid": "<EXAMPLE_SID>",
"Effect": "Deny",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::<MYotherBUCKET>"
,
"Sid": "<EXAMPLE_SID>",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": "arn:aws:s3:::<MYBUCKET>/*"
]
然后将此策略也添加到此用户。此政策会将所有类型的操作限制为列出的其他 s3 存储桶。
"Version": "2012-10-17",
"Statement": [
"Sid": "<EXAMPLE_SID>",
"Effect": "Deny",
"Action": [
"s3:PutAnalyticsConfiguration",
"s3:GetObjectVersionTagging",
"s3:CreateBucket",
"s3:ReplicateObject",
"s3:GetObjectAcl",
"s3:DeleteBucketWebsite",
"s3:PutLifecycleConfiguration",
"s3:GetObjectVersionAcl",
"s3:PutBucketAcl",
"s3:PutObjectTagging",
"s3:DeleteObject",
"s3:GetIpConfiguration",
"s3:DeleteObjectTagging",
"s3:GetBucketWebsite",
"s3:PutReplicationConfiguration",
"s3:DeleteObjectVersionTagging",
"s3:GetBucketNotification",
"s3:PutBucketCORS",
"s3:DeleteBucketPolicy",
"s3:GetReplicationConfiguration",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:GetObject",
"s3:PutBucketNotification",
"s3:PutBucketLogging",
"s3:PutObjectVersionAcl",
"s3:GetAnalyticsConfiguration",
"s3:GetObjectVersionForReplication",
"s3:GetLifecycleConfiguration",
"s3:ListBucketByTags",
"s3:GetInventoryConfiguration",
"s3:GetBucketTagging",
"s3:PutAccelerateConfiguration",
"s3:DeleteObjectVersion",
"s3:GetBucketLogging",
"s3:ListBucketVersions",
"s3:ReplicateTags",
"s3:RestoreObject",
"s3:GetAccelerateConfiguration",
"s3:GetBucketPolicy",
"s3:PutEncryptionConfiguration",
"s3:GetEncryptionConfiguration",
"s3:GetObjectVersionTorrent",
"s3:AbortMultipartUpload",
"s3:PutBucketTagging",
"s3:GetBucketRequestPayment",
"s3:GetObjectTagging",
"s3:GetMetricsConfiguration",
"s3:DeleteBucket",
"s3:PutBucketVersioning",
"s3:PutObjectAcl",
"s3:ListBucketMultipartUploads",
"s3:PutMetricsConfiguration",
"s3:PutObjectVersionTagging",
"s3:GetBucketVersioning",
"s3:GetBucketAcl",
"s3:PutInventoryConfiguration",
"s3:PutIpConfiguration",
"s3:GetObjectTorrent",
"s3:ObjectOwnerOverrideToBucketOwner",
"s3:PutBucketWebsite",
"s3:PutBucketRequestPayment",
"s3:GetBucketCORS",
"s3:PutBucketPolicy",
"s3:GetBucketLocation",
"s3:ReplicateDelete",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::<MYotherBUCKET>/*",
"arn:aws:s3:::<MYotherBUCKET>"
]
]
【讨论】:
很高兴它对您有用,但是,您是否有理由使用两种不同的策略,而不是简单地执行 ` "Effect": "Deny","Action": "s3:*" ,"Resource": "arn:aws:s3:::我最近能够使用 Amazon 的 documentation 使其工作。对我来说,关键是将 IAM 用户指向特定存储桶而不是 S3 控制台。根据文档,“警告:更改这些权限后,用户在访问主 Amazon S3 控制台时会收到拒绝访问错误。主控制台链接类似于以下内容:
https://s3.console.aws.amazon.com/s3/home
相反,用户必须使用到存储桶的直接控制台链接来访问存储桶,类似于以下内容:
https://s3.console.aws.amazon.com/s3/buckets/awsexamplebucket/"
我的政策如下:
"Version": "2012-10-17",
"Statement": [
"Sid": "Stmt1589486662000",
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::AWSEXAMPLEBUCKET",
"arn:aws:s3:::AWSEXAMPLEBUCKET/*"
]
]
【讨论】:
以上是关于创建单个 IAM 用户以仅访问特定的 S3 存储桶的主要内容,如果未能解决你的问题,请参考以下文章
允许用户访问特定 S3 存储桶进行备份的 AWS IAM 策略