Запретить доступ к S3 bucket для администратора через консоль

Question

У меня есть очень конфиденциальные данные, которые я хочу сохранить в корзине s3.Я хочу создавать политики (bucket или iam, что требуется) таким образом, чтобы никто (даже администратор) не мог читать содержимое файлов в этом баке из консоли aws.Но на моем хосте будет запущена программа, которая должна поместить и получить данные из этой корзины s3.Также я буду использовать шифрование на стороне сервера s3, но я не могу использовать шифрование на стороне клиента s3.

Answer 1

Вы ищете что-то вроде этого;

    {
        "Id": "bucketPolicy",
        "Statement": [
            {
                "Action": "s3:*",
                "Effect": "Deny",
                "NotPrincipal": {
                    "AWS": [
                            "arn:aws:iam::111111111111:user/USERNAME",
                            "arn:aws:iam::111111111111:role/ROLENAME"
                    ]
                },
                "Resource": [
                    "arn:aws:s3:::examplebucket",
                    "arn:aws:s3:::examplebucket/*"
                ]
            }
        ],
        "Version": "2012-10-17"
    }

В целях тестирования убедитесь, что вы заменили arn: aws: iam :: 111111111111: user / USERNAME на вашего пользователя arn.Поэтому, если вы заблокируете всех, вы можете по крайней мере выполнить действия с корзиной.

arn: aws: iam :: 111111111111: роль / ROLENAME должна быть заменена на роль arn, которая прикреплена к вашему экземпляру EC2 (Я предполагаю, что это то, что вы подразумеваете под хозяином).