Nhiều access_keys cho các đặc quyền khác nhau với cùng một tài khoản S3?

Question

Tôi có một tài khoản S3/AWS. Tôi có một số trang web sử dụng thùng của riêng mình trên S3 để lưu trữ đọc/ghi. Tôi cũng lưu trữ rất nhiều nội dung cá nhân (bản sao lưu, v.v.) trên các nhóm khác trên S3, không được truy cập công khai.

Tôi không muốn có các trang web này-- một số trong số đó có thể có người khác truy cập vào mã nguồn và các thuộc tính cấu hình của chúng và xem các khóa S3 - có quyền truy cập vào dữ liệu cá nhân của tôi!

Dường như là đọc tài liệu của Amazon mà tôi cần phân bổ các đặc quyền, bởi Amazon USER mỗi nhóm, không phải bằng khóa truy cập cho mỗi nhóm. Nhưng điều đó sẽ không hoạt động. Nó cũng có vẻ như tôi chỉ nhận được 2 phím truy cập. Tôi cần có một khóa truy cập là khóa chính và một số khóa khác có nhiều quyền hạn hơn - chỉ dành cho các nhóm nhất định.

Có cách nào để làm điều đó hoặc để ước tính điều đó không?

Answer 1

Có, Để truy cập tài khoản đăng nhập khác nhau với sự cho phép khác nhau bằng cùng một tài khoản AWS, bạn có thể sử dụng AWS IAM. Là một nhà phát triển của Bucket Explorer, tôi đề nghị thử phiên bản Bucket Explorer-team nếu bạn đang tìm kiếm công cụ cung cấp cho bạn giao diện gui với thông tin đăng nhập khác nhau và quyền truy cập khác nhau. đọc http://team20.bucketexplorer.com

Answer 2

Bạn có thể đạt được mục tiêu của bạn bằng cách tạo điều kiện cho AWS Identity and Access Management (IAM):

AWS nhận dạng và quản lý truy cập (IAM) cho phép bạn một cách an toàn kiểm soát truy cập đến các dịch vụ AWS và các nguồn lực cho người dùng của bạn. IAM cho phép bạn tạo và quản lý người dùng trong AWS và nó cũng cho phép bạn cấp quyền truy cập vào tài nguyên AWS cho người dùng được quản lý bên ngoài AWS trong thư mục công ty của bạn. IAM cung cấp bảo mật, linh hoạt, và kiểm soát tốt hơn khi sử dụng AWS.[nhấn mạnh của tôi]

Như đã nhấn mạnh, sử dụng IAM được khuyến khích mạnh mẽ cho tất cả mọi thứ AWS dù sao, tức là lý tưởng nhất, bạn nên bao giờ sử dụng thông tin tài khoản chính của bạn cho bất cứ điều gì nhưng thiết lập IAM ban đầu (như mentioned by Judge Mental đã có, bạn có thể tạo nhiều phím truy cập như bạn muốn như vậy).

Bạn có thể sử dụng IAM tốt qua AWS Management Console (nghĩa là họ không cần các công cụ của bên thứ ba sử dụng tất cả chức năng có sẵn về nguyên tắc).

Việc tạo các chính sách bắt buộc có thể hơi phức tạp một chút, nhưng AWS Policy Generator là cực kỳ hữu ích để giúp bạn bắt đầu và khám phá những gì có sẵn.

Đối với trường hợp sử dụng trong tầm tay bạn sẽ cần một S3 Bucket Policy, xem Using Bucket Policies nói riêng và Access Control cho một cái nhìn tổng quan chung về có sẵn các cơ chế kiểm soát quyền truy cập khác nhau S3 (có thể can thiệp vào cách tinh tế, xem ví dụ Using ACLs and Bucket Policies Together).

Chúc may mắn!

Answer 3

Đơn giản chỉ cần tạo một chính sách nhóm IAM tùy chỉnh mà hạn chế quyền truy cập vào một xô đặc biệt

Chẳng hạn như ...

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Action": ["s3:ListAllMyBuckets"], 
     "Resource": "arn:aws:s3:::*" 
    }, 
    { 
     "Effect": "Allow", 
     "Action": "s3:*", 
     "Resource": 
     [ 
     "arn:aws:s3:::my.bucket", 
     "arn:aws:s3:::my.bucket/*" 
     ] 
    } 
    ] 
} 

Hành động đầu tiên s3:ListAllMyBuckets cho phép người sử dụng để liệt kê tất cả các xô. Nếu không có điều đó, khách hàng S3 của họ sẽ không hiển thị gì trong danh sách nhóm khi người dùng đăng nhập.

Hành động thứ hai cấp toàn bộ đặc quyền của S3 cho người dùng cho nhóm có tên 'my.bucket'. Điều đó có nghĩa là họ được tự do tạo/liệt kê/xóa tài nguyên nhóm và ACL người dùng trong nhóm.

Cấp quyền truy cập s3: * khá đơn giản. Nếu bạn muốn kiểm soát chặt chẽ hơn trên nhóm, hãy tìm các hành động có liên quan mà bạn muốn cấp và thêm chúng dưới dạng danh sách.

"Action": "s3:Lists3:GetObject, s3:PutObject, s3:DeleteObject" 

Tôi khuyên bạn nên tạo chính sách này làm nhóm (ví dụ: my.bucket_User) để bạn có thể gán cho mọi người cần quyền truy cập vào nhóm này mà không cần bất kỳ copypasta không cần thiết nào.