Wiele klawiszy dostępu dla różnych uprawnień dla tego samego konta S3?

Question

Mam jedno konto S3/AWS. Mam kilka stron internetowych, z których każda używa własnego zasobnika na S3 do odczytu/zapisu danych. Prowadzę również wiele osobistych rzeczy (kopie zapasowe itp.) W innych zasobnikach na S3, które nie są publicznie dostępne.

Nie chciałbym mieć tych stron - niektóre z nich mogą mieć dostęp do kodu źródłowego i właściwości konfiguracyjnych innych osób oraz zobaczenie kluczy S3 - mając dostęp do moich prywatnych danych!

Wygląda na to, że czytając dokumenty Amazona, muszę mieć uprawnienia do partycji, przez Amazon USER za wiadro, a nie za klucz dostępu na wiadro. Ale to nie zadziała. Wygląda na to, że dostaję tylko 2 klucze dostępu. Muszę mieć jeden klucz dostępu, który jest kluczem głównym, oraz kilka innych, które mają znacznie bardziej ograniczone uprawnienia - tylko dla niektórych wiader.

Czy jest jakiś sposób na zrobienie tego lub przybliżenie tego?

Answer 1

Tak, aby uzyskać dostęp do różnych kont z różnymi uprawnieniami przy użyciu tego samego konta AWS, można użyć AWS IAM. Jako twórca Bucket Explorer sugeruję wypróbowanie edycji zespołu Bucket Explorer, jeśli szukasz narzędzia zapewniającego interfejs GUI z różnymi loginami i różnymi uprawnieniami dostępu. czytaj http://team20.bucketexplorer.com

Answer 2

można osiągnąć swój cel poprzez ułatwienie AWS Identity and Access Management (IAM):

AWS Zarządzanie tożsamością i dostępem (IAM) pozwala bezpiecznie kontroli dostępu do usług i zasobów AWS dla swoich użytkowników. IAM umożliwia tworzenie użytkowników AWS i zarządzanie nimi, a także umożliwia przyznawanie dostępu do zasobów AWS użytkownikom zarządzanym poza AWS w katalogu firmowym . IAM zapewnia większe bezpieczeństwo, elastyczność, i kontrolę podczas korzystania z AWS.[podkr]

Jak podkreślono, używając IAM jest zalecane dla wszystkich rzeczy AWS tak, czyli idealnie nigdy nie powinno się wykorzystywać swoje główne poświadczenia konta do niczego, ale utworzenie IAM początkowo (jak mentioned by Judge Mental już cię można wygenerować tyle kluczy dostępu, ile chcesz jak to).

Możesz używać IAM tylko w porządku za pośrednictwem AWS Management Console (tzn. Nie ma potrzeby używania narzędzi innych firm do korzystania z wszystkich dostępnych funkcji w zasadzie).

Generowanie wymaganych polis może być nieco trudne w czasach, ale AWS Policy Generator jest niezwykle pomocny, aby zacząć grę i sprawdzić, co jest dostępne.

Dla przypadku użycia pod ręką będziesz potrzebował S3 Politykę Wiadro patrz Using Bucket Policies w szczególności, Access Control na ogólny przegląd różnych dostępnych mechanizmów kontroli dostępu S3 (które mogą ingerować w subtelny sposób, patrz np Using ACLs and Bucket Policies Together).

Powodzenia!

Answer 3

Wystarczy utworzyć niestandardową zasadę grupy IAM, która ogranicza dostęp do określonego wiadra

Takie jak ...

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Action": ["s3:ListAllMyBuckets"], 
     "Resource": "arn:aws:s3:::*" 
    }, 
    { 
     "Effect": "Allow", 
     "Action": "s3:*", 
     "Resource": 
     [ 
     "arn:aws:s3:::my.bucket", 
     "arn:aws:s3:::my.bucket/*" 
     ] 
    } 
    ] 
} 

Pierwsza akcja s3:ListAllMyBuckets pozwala użytkownikom listę wszystkich wiader. Bez tego ich klient S3 nie wyświetli niczego na liście segmentów, gdy zalogują się użytkownicy.

Drugie działanie przyznaje użytkownikowi pełne uprawnienia S3 do wiadra o nazwie "my.bucket". Oznacza to, że mogą tworzyć/wyświetlać/usuwać zasoby wiaderek i listy ACL użytkowników w obrębie zasobnika.

Przyznanie s3: * dostęp jest dość luźny. Jeśli chcesz dokładniej kontrolować wiadro, poszukaj odpowiednich akcji, które chcesz przyznać, i dodaj je jako listę.

"Action": "s3:Lists3:GetObject, s3:PutObject, s3:DeleteObject" 

Proponuję stworzyć tę politykę jako grupę (ex my.bucket_User), dzięki czemu można przypisać do każdego użytkownika, który potrzebuje dostępu do tego wiadra bez zbędnej copypasta.