Início / server / Perguntas / 909488
Accepted
neubert
Asked: 2018-04-26 14:08:10 +0800 CST

criando um grupo que me concede controle total sobre apenas um bucket s3

  • 772

Quero criar um usuário com um grupo personalizado que me permita acessar apenas um bucket do S3 e estou com dificuldades para fazer isso.

Então estou nesta tela:

insira a descrição da imagem aqui

Eu permiti ações do S3. Agora quero restringi-lo a apenas um bucket específico. Clico no texto "Recursos" e recebo isso:

insira a descrição da imagem aqui

Clico em "Adicionar ARN" para ambos e obtenho isto:

insira a descrição da imagem aqui

Eu uso "whatever" como "nome do bucket" para bucket e "whatever" como "nome do bucket" para objeto (deixando "Nome do objeto" em branco) e, em seguida, quando tento usar a conta recém-criada, no recém-criado group, para acessar o S3, não consigo fazer upload ou download de arquivos do bucket sem obter um erro 403 Forbidden. Se eu usar "Todos os recursos" em vez de "Específico", funcionará, mas eu só quero que esse usuário tenha acesso a um bucket específico.

Alguma ideia?

amazon-web-services

2 respostas

  1. Best Answer

    Parece que está faltando o curinga *na declaração do objeto.

    Deve ser bucket-name/*em vez de bucket-name/ao declarar objetos bucket

    Tente adicionar curinga

    Para as entradas resultantes:

    Tente adicionar o curinga

    • 2

  2. Você não compartilhou a política real, apenas capturas de tela do assistente. Se você quiser ajuda com sua política, edite sua postagem para incluí-la.

    Há muitos recursos online para ajudar com isso, como esta postagem no blog da AWS e esta documentação .

    Eu tenho essa política que permite acesso somente leitura a um único bucket. Anexe a política a um grupo e adiciono os usuários que precisam dessa política a esse grupo. Se você precisar de permissões diferentes, basta adicioná-las ao json.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "Stmt1498596902003",
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:GetObjectVersionAcl",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListBucketVersions",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}
    • 1

relate perguntas