问题基于Amazon Prefix的S3策略不起作用（AWS，IAM，STS，Ruby）

我正在构建一个使用亚马逊安全令牌服务的应用程序来创建临时用户来访问S3存储桶上的子目录。用户由具有对存储桶的完全读/写访问权限的IAM用户创建（以及创建用户所需的权限）。

我创建的用户与会话过期完美配合等等，但是我在制定正确的策略以允许基于前缀的密钥列表方面遇到了问题。我希望最终用户拥有的权限是：

读取某些已定义前缀的对象
将对象写入相同的定义前缀
列出驻留在已定义前缀中的所有对象

我设法读取和写入工作，但无论如何我尝试列表访问不能正常工作。这是我最接近时使用的Ruby代码：

AWS::STS::Policy.new do |policy|
  policy.allow(
    actions: ["s3:GetObject*", "s3:PutObject*", "s3:DeleteObject*"],
    resources: "arn:aws:s3:::#{ENV['PROJECT_BUCKET']}/#{folder_path}/*"
  )

  policy.allow(
    actions: ["s3:*"],
    resources: ["arn:aws:s3:::#{ENV['PROJECT_BUCKET']}/*", "arn:aws:s3:::#{ENV['PROJECT_BUCKET']}"]
  ).where(:s3_prefix).like("#{folder_path}/*")
end

如果我记得，这让我做了阅读和写作，但没有列出。由于我还在开发中，我已将代码更改为：

AWS::STS::Policy.new do |policy|
  # FIXME: This is way too permissive, but it's not working to be more specific.
  policy.allow(
    actions: ["s3:*"],
    resources: ["arn:aws:s3:::#{ENV['PROJECT_BUCKET']}/*", "arn:aws:s3:::#{ENV['PROJECT_BUCKET']}"]
  )
end

这可以100％正常工作，显而易见的问题是，没有任何东西限制在一个允许用户破坏彼此工作的前缀。

我的政策中我做错了什么？

3888

2018-04-12 21:49

起源

答案:

您可能会发现此文章，因为它专门讨论了创建策略以限制用户在S3存储桶中的前缀。

移动应用程序的凭据管理

您很可能只需要参考第二个政策。

{ 
        "Statement":
        [
            {
              "Effect":"Allow",
              "Action":["s3:PutObject","s3:GetObject","s3:DeleteObject"],
              "Resource":"arn:aws:s3:::__MY_APPS_BUCKET_NAME__/__USERNAME__/*"
            },
            {
              "Effect":"Allow",
              "Action":"s3:ListBucket",
              "Resource":"arn:aws:s3:::__MY_APPS_BUCKET_NAME__",
              "Condition":{"StringLike":{"s3:prefix":"__USERNAME__/"}}
            },
            {
              "Effect":"Deny",
              "Action":["sts:*", "iam:*", "sdb:*"],
              "Resource":"*"
            }
        ]
}

前两个陈述是你最感兴趣的。

希望这可以帮助。

2018-04-15 17:02

扩展Bob Kinney的引用的文章和片段（+ 1），我想解释一下我认为你的问题的可能原因，这实际上与使用它无关 AWS安全令牌服务（STS），但涉及经常遇到的一些细微之处 Amazon S3 IAM策略一般来说：

该 Amazon S3的示例策略涵盖与您类似或相关的各种用例 - 特别是您的用例显然包括 示例2：允许组在Amazon S3中拥有共享文件夹 - 你已经在第一个片段的第一个策略中有效地实现了它（模数 GetObjectVersion， DeleteObjectVersion，仅在使用时相关对象版本控制）。

现在缺少的是 ListBucket - 请注意以下细微之处：

这属于铲斗操作，即 您可以执行的操作亚马逊S3 水桶 ，而例如 GetObject的属于对象操作，即 您可以在Amazon S3上执行的操作对象 （还有服务运营，目前只 ListAllMyBuckets，这可能不适用于您的用例）。
该 prefix参数 限制对以指示的前缀开头的键的响应。您可以使用前缀将存储桶分隔为不同的密钥集，其方式与文件系统使用文件夹的方式类似。，这意味着一个前缀不能包含通配符规范，或者更确切地说 * 被视为名称的一部分，请参阅存储桶或对象名称中允许使用哪些字符？。
- 这是许多用户最初偶然发现的文件夹/目录模拟的一个方面，因为S3实际上是一个由存储桶和对象/键组成的平面存储架构（请参阅我的回答如何指定与目录不匹配的对象到期前缀？有关详细信息）。

因此，像您这样的许多用例需要两个不同的策略片段来分别处理对象和存储桶相关的操作，因此您可能需要以下内容：

AWS::STS::Policy.new do |policy|
  policy.allow(
    actions: ["s3:GetObject*", "s3:PutObject*", "s3:DeleteObject*"],
    resources: "arn:aws:s3:::#{ENV['PROJECT_BUCKET']}/#{folder_path}/*"
  )

  policy.allow(
    actions: ["s3:ListBucket"],
    resources: ["arn:aws:s3:::#{ENV['PROJECT_BUCKET']}"]
  ).where(:s3_prefix).like("#{folder_path}/")
end

2018-04-18 11:44

问题 基于Amazon Prefix的S3策略不起作用（AWS，IAM，STS，Ruby）

答案:

热门问题

问题基于Amazon Prefix的S3策略不起作用（AWS，IAM，STS，Ruby）