Aynı S3 hesabına sahip farklı ayrıcalıklar için birden çok erişim_anahtarı var mı?

Question

Tek bir S3/AWS hesabım var. Her biri, okuma/yazma için S3 üzerinde kendi kovasını kullanan birkaç web sitem var. Ayrıca S3'teki diğer kepler üzerinde halka açık olmayan birçok kişisel eşya (yedeklemeler, vb.) Barındırıyorum.

Bu web sitelerine sahip olmamak istiyorum - bunlardan bazıları kaynak koduna ve yapılandırma özelliklerine erişen ve S3 tuşlarını görerek özel verilerime erişen başka insanlara sahip olabilir!

Amazon'un belgelerini ayrıcalıklara ayırmam gerektiğini, kova başına erişim anahtarıyla değil, kova başına Amazon USER tarafından okunmasından kaynaklanıyor gibi görünüyor. Ama bu işe yaramayacak. Aynı zamanda sadece 2 erişim anahtarı alıyorum gibi görünüyor. Ana anahtar olan bir erişim anahtarına ve çok daha sınırlı izinlere sahip olan diğer bazı bilgilere sahip olmam gerekir - yalnızca belirli paketler için.

Bunu yapmak için herhangi bir yolu var mı, yoksa yaklaşık olarak mı?

Answer 1

Evet, aynı AWS Hesabını kullanarak farklı izinlere sahip farklı giriş hesabına erişmek için AWS IAM'ı kullanabilirsiniz. Bir kova Explorer geliştiricisi olarak, aracı arıyorsanız farklı bir giriş ve farklı erişim izni ile size gui arayüzü sağlamak için Bucket Explorer - ekip sürümü deneyin öneririz. http://team20.bucketexplorer.com

Answer 2

Sen AWS Identity and Access Management (IAM) kolaylaştırarak sizin hedefe ulaşabilirsiniz okuyun:

AWS Kimlik ve Erişim Yönetimi (IAM) AWS hizmet ve kaynakların kullanıcılar için için güvenli erişimi kontrol etmenizi sağlar. IAM , AWS'de kullanıcılar oluşturmanızı ve yönetmenizi sağlar; ayrıca , AWS kaynaklarının AWS dışında yönetilen kullanıcılar için kurumsal dizininizde erişimini sağlar. IAM, daha fazla güvenlik, esneklik, ve AWS kullanırken kontrol sağlar. [vurgu benim] IAM kullanılarak vurgulandığı gibi

, şiddetle zaten her şeyi AWS için önerilir , yani ideal sen zaten mentioned by Judge Mental olarak (başlangıçta IAM kurma ama hiçbir şey için ana hesabı kimlik kullanmak asla ,'u istediğiniz kadar erişim anahtarı oluşturabilir.

IAM'yi AWS Management Console aracılığıyla kullanabilirsiniz (yani, ilkedeki tüm kullanılabilir işlevleri kullanmak için üçüncü taraf araçlara gerek yoktur).

Gerekli ilkeleri oluşturmak zaman zaman biraz zor olabilir, ancak AWS Policy Generator baştan başlamanıza ve mevcut olanı keşfetmenize yardımcı olmak için son derece yararlıdır. el altında kullanım durumunda size örneğin bkz ince şekilde etkileyebilir hangi (çeşitli kullanılabilir S3 erişim kontrol mekanizmalarının genel bir bakış için özellikle Using Bucket Policies ve Access Control bkz Using ACLs and Bucket Policies Together bir S3 Kepçe Politikası'nı gerekir için

).

İyi şanslar!

Answer 3

Basitçe

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Action": ["s3:ListAllMyBuckets"], 
     "Resource": "arn:aws:s3:::*" 
    }, 
    { 
     "Effect": "Allow", 
     "Action": "s3:*", 
     "Resource": 
     [ 
     "arn:aws:s3:::my.bucket", 
     "arn:aws:s3:::my.bucket/*" 
     ] 
    } 
    ] 
} 

ilk eylem s3:ListAllMyBuckets kullanıcılar kovalar tüm listelemek için izin verir ... belirli bir kova Mesela

erişimi sınırlayan özel bir IAM grup politikasını oluşturmak. Bu olmadan, S3 istemcisi, kullanıcılar oturum açtığında kepçe listesinde hiçbir şey göstermez.

İkinci eylem "my.bucket" adlı kova için kullanıcıya tam S3 ayrıcalıkları verir. Bu, kova kaynakları ve kova içindeki kullanıcı ACL'lerini oluşturma/listeleme/silme konusunda özgür oldukları anlamına gelir.

Verilmesi s3: * erişim oldukça gevşek. Kepçe üzerinde daha sıkı denetimler yapmak istiyorsanız, yalnızca vermek istediğiniz ilgili eylemleri arayın ve bunları bir liste olarak ekleyin.

"Action": "s3:Lists3:GetObject, s3:PutObject, s3:DeleteObject" 

Sana Bir gruba (ör my.bucket_User) olarak bu politikayı oluşturmak önermek böylece gereksiz copypasta olmadan bu kova erişmesi gereken her kullanıcıya atayabilirsiniz.