如何解决在AWS中,S3和IAM权限是否不同?
在AWS中创建S3存储桶后-我想了解应如何提供对S3存储桶的读写访问权限?
我认为IAM用户权限和S3存储桶权限不同。我的意思是-可以通过将仅对AWS无权限的IAM用户添加到S3存储桶的权限来授予对S3存储桶的访问权限。 S3权限与IAM权限无关>
以上理解正确吗?如果上述错误,请更正并详细说明?
解决方法
S3权限与IAM权限无关
情况并非如此。存储桶及其对象的有效许可是基于IAM身份的许可(即,附加到IAM用户,角色,组的那些)的联合,加上存储桶策略以及其他许可( SCP,IAM边界),为简单起见,我不会提及。
默认情况下,存储桶和对象是私有的。您可以使用IAM策略,存储桶策略或同时使用两者来Allow
访问它们。有效权限将是所有这些单独权限的并集。这意味着您可以使用存储桶策略向同一IAM用户授予对object1
的访问权限,并可以使用IAM策略向object2
授予访问权限。该用户将可以访问两个对象。
当有Deny
时,此行为就会改变,因为拒绝总是赢了。因此,IAM用户可以在给定存储桶的IAM策略中拥有Allow
,但是该存储桶可以为该用户拥有Deny
。结果将始终为Deny
。
因此,所有这些都意味着应将存储桶策略和IAM权限一起考虑并相互连接。因此,您不能说“ S3权限与IAM权限无关”。
,IAM用户默认情况下没有权限。如果他们希望通过经过身份验证的API调用任何操作,则必须授予他们这样做的权限。
即使Amazon S3存储桶策略向IAM用户授予访问权限,他们也无法访问Amazon S3中的内容,除非其IAM权限允许他们进行关联的API调用(例如ListBuckets
或GetObject
)
请注意,我指的是通过网络浏览器URL的经过身份验证的API调用,不是匿名HTTP请求。
桶策略可以通过引用"Principal": "*"
来授予“公共访问权限”(这意味着即使未经身份验证的用户也可以通过URL检索内容),或者可以授予对特定IAM的访问权限用户和IAM角色。但是,如果该用户/角色无权调用任何S3操作,则他们将无法访问存储桶。
IAM或存储桶策略中的Deny
策略优先于Allow
。因此,桶策略可以拒绝具有访问桶权限的IAM用户,反之亦然。
在AWS IAM中,可以生成所有策略并将其分配给用户和/或角色。 通常,AWS建议使用S3存储桶策略或IAM策略进行访问控制。
“ S3 ACL是一种先于IAM的旧式访问控制机制。但是,如果您已经使用过S3 ACL并且发现它们已经足够, 无需更改。”
默认情况下,用户/角色采用由SCP提供的代表“服务控制策略”的策略。它与您可能面临的政策非常相似,但这是由帐户级别或组织级别提供的。
在所有用于生成和采用策略的选项中,都有一个逻辑“和”,这意味着如果在策略中至少有1个“拒绝”,它将限制用户/角色对特定存储区的访问就您而言
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。