如何解决适用于SFTP的AWS Transfer只写存储桶访问吗?
是否可以为SFTP用户提供对存储桶的仅写访问权限?
us.access
我现在对SFTP用户角色具有此策略,它使我既可以查看存储桶的内容,又可以放置新文件。但是,当我删除 - Sid: AllowListingOfUserFolder
Action:
- s3:ListBucket
Effect: Allow
Resource:
- arn:aws:s3:::mybucket
- Sid: HomeDirObjectAccess
Action:
- s3:PutObject*
Effect: Allow
Resource: arn:aws:s3:::mybucket/*
时,我不能再放置文件了。
我需要的是我得到的SFTP用户的只写存储桶策略。我是否有任何遗漏或实际上是不可能的?
解决方法
你没有遗漏任何东西。为了通过传输服务器将对象/文件放入 s3 存储桶,您需要向用户授予列表存储桶访问权限,然后只有用户才能将对象放入您的 s3 目录。
但是,您可以将以下策略附加到用户以允许特定 Amazon S3 在文件夹级别放置权限(例如 mybucket/in/*)。
ValueError: Shape of passed values is (9875,8),indices imply (0,8)
,
使用传输逻辑目录,您可以隐藏/重命名存储桶和文件夹名称,甚至将用户限制到非常特定的路径。如果您将这些与您博文中概述的 S3 权限结合起来,您就可以完全按照自己的意愿限制客户端。
例如,您不能仅使用策略删除存储桶名称,但可以使用逻辑目录对其进行重命名。
示例: [{"Entry": "/client-visible-landing-directory","Target": "/my bucket/writeonlyfolder"}]
因此,当客户端登录并执行 'ls /' 时,客户端会看到一个名为 client-visible-landing-directory 的文件夹,但与该目录交互实际上会与 S3 uri my bucket/writeonly 文件夹交互,除了客户端永远不会看到任何实际的 S3 文件夹名称。
您可以定位任意数量的文件夹。将其与仅允许 PutObject 到该文件夹的 S3 策略相结合将创建一个只写传输用户。你可以有很多这样的逻辑映射,有
您可以在逻辑目录博客文章中查看更多详细信息和示例:https://aws.amazon.com/blogs/storage/simplify-your-aws-sftp-structure-with-chroot-and-logical-directories/
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。