AWS: Какова связь между политиками корзины S3 и политиками пользователей? - PullRequest
Новая
       11

AWS: Какова связь между политиками корзины S3 и политиками пользователей?

2 голосов
/ 05 мая 2020

Каковы (или должны быть) отношения между политикой корзины S3 и политикой пользователя назначенного администратора?

Например, предположим, что я недавно создал корзину: 

$ aws --profile admin --endpoint-url http://localhost:4572 s3 mb s3://foo
make_bucket: foo

Я хочу, чтобы пользователь bucket_admin мог администрировать ведро (не обязательно исключительно). Для этого я должен создать / применить политику корзины в следующих строках: 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:*"],
      "Principal": { "AWS": "arn:aws:iam::000000000000:user/bucket_admin" },
      "Resource": "arn:aws:s3:::foo/*"
    }
  ]
}

... или создать / применить политику пользователя в следующих строках: 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect":"Allow",
      "Action":["s3:*"],
      "Resource":["arn:aws:s3:::foo/*"]
    }
  ]
}

?

1 Ответ

3 голосов
/ 06 мая 2020

Ваша политика корзины применяется только к одному принципу - пользователю bucket_admin. Она не может использоваться ролью, другим пользователем IAM или группой, если вы хотите, чтобы больше идентификаторов могли управлять корзиной.

Политика IAM не имеет принципа по определению. Это означает, что вы должны привязать его к идентификатору, например роли IAM, пользователю или группе. Это дает вам больше гибкости в том, как распределять разрешения для корзины. Это может быть только bucket_admin, или вы можете создать группу администраторов корзины, или иметь роль, которую может взять на себя экземпляр EC2.

Также с политикой IAM легче проверить, кто / что используй это. Просто наберите go на консоль IAM и на Policy Usage, и вы получите список всех идентификаторов, которые используют политику. С помощью политик сегментов вы должны go вручную обработать все сегменты и проверить их политики, чтобы проверить, кто может быть администратором сегментов.

Хорошее общее сравнение политик ресурсов и IAM здесь:

Также полезно читать, поскольку политики IAM могут быть прикреплены к ролям:

...