Question

Можно ли скрыть корзину S3 AWS от всех, включая пользователей уровня администратора, кроме одного пользователя (не администратора)? Мне удалось создать корзину, к которой имеет доступ только один пользователь, но это все же не мешает администраторам использовать ее и просматривать содержимое. Он предназначен для содержания чувствительных материалов отдела кадров, поэтому его должен просматривать только назначенный сотрудник отдела кадров.

jarmod · Answer 1 · 09 ноября 2018

Рассматривали ли вы политику сегмента S3, которая запрещает доступ всем, кроме пользователей HR и любых процессов автоматизации HR, которые заполняют данные в сегмент S3, например:

{
    "Version": "2012-10-17",
    "Id": "Policy53216968",
    "Statement": [
        {
            "Sid": "Deny access except HR users and automation",
            "Effect": "Deny",
            "NotPrincipal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/hr-user",
                    "arn:aws:iam::123456789012:role/hr-role",
                    "arn:aws:iam::123456789012:role/hr-automation-role"
                ]
            },
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::mybucket"
        }
    ]
}

Будьте осторожны с такой политикой. Вы можете легко заблокировать всех, включая пользователей-администраторов, из корзины, если допустите ошибку. В этом случае вам потребуется обратиться к учетной записи root для восстановления доступа к корзине.

Примечание: эта политика не дает никаких прав пользователям HR и процессам автоматизации. Это просто отрицает любое использование без HR. Вам все еще нужно дать разрешение HR обычным способом (политики IAM).

John Rotenstein · Answer 2 · 09 ноября 2018

Использование политики Deny для блокировки других пользователей (согласно @jarmod) - это хорошо, но это не остановит отображение корзины, а также не помешает администраторам отменить политику.

Еще один способ сделать это - создать отдельную учетную запись AWS и поместить корзину в эту другую учетную запись. Затем добавьте политику Bucket к этой учетной записи, предоставляя доступ пользователю IAM в исходной учетной записи.

Это «спрячет» корзину от всех пользователей в исходной учетной записи.

Geoffrey Wiseman · Answer 3 · 09 ноября 2018

Даже если бы вы смогли защитить корзину от пользователей с учетными данными уровня администратора в AWS, эти пользователи уровня администратора смогут изменять разрешения для корзины, чтобы получить доступ. Может быть, рассмотреть шифрование?

Скрыть S3 Bucket даже от администратора

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Скрыть S3 Bucket даже от администратора

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов