Open in app

Sign in

Write

Sign in

AWS S3 policy

Gary Ng
9 min readOct 26, 2020

--

policy 語法結構可以參考此文章

AWS IAM

IAM 全名 Identity Access Management 可以對 aws 資源做權限控管

gary840227.medium.com

policy 結構中還有一個叫 Principal , 可以將 principal 理解成 『 誰 』, 就是允許誰有條件

Principal 指定使用者格式

  1. 授予 aws 帳號
{“AWS”:”arn:aws:iam::AccountNumber:root"}

2. 授予 service

{“Service”:[”service-name.amazonaws.com"]}

3. 授予 iam 使用者

{“AWS”:”arn:aws:iam::AccountNumber:user/username"}

4. 指定所有 iam 使用者

{“AWS”:”arn:aws:iam::AccountNumber:user/*"}

S3 主要 Action

  1. CreateBucket: 新增 bucket
  2. DeleteBucket: 刪除 bucket
  3. GetBucketLocation:取得 bucket 所在的位置
  4. GetObject: 允許取的 bucket 的物件
  5. ListBucket: bucket 物件列表
  6. ListAllMyBuckets: 顯示所有 bucket

7. PutObject: 新增物件

s3 Resource 指定規則

arn:aws:s3:region:accountid:resource-type/resource-id
arn:aws:s3:::bucket_name/key_name

範例 1:

授予 iam user Dave 擁有新增物件的權限

{ 
“Version”: “2012–10–17”, 
“Statement”: [ 
   { 
      “Sid”: “statement1”, 
      “Effect”: “Allow”, 
      “Principal”: { 
         “AWS”: “arn:aws:iam::12345678901:user/Dave” 
      }, 
      “Action”: [
         “s3:PutObject”, 
         “s3:PutObjectAcl” 
      ],
      “Resource”: “arn:aws:s3:::awsexamplebucket1/*" 
   }     
 ] 
}

範例 2: 授與 iam 使用者可以查看所有的 buckets, 但是這樣只能看到 bucket 無法看到其物件

此操作在 iam policy 操作

{ 
“Version”: “2012–10–17”, 
“Statement”: [ 
   { 
      “Sid”: “statement1”, 
      “Effect”: “Allow”,
      “Action”: [
         “s3:ListAllMyBuckets”
      ],
      “Resource”: “arn:aws:s3:::*" 
   }     
 ] 
}

範例3: 在受與特定的 bucket 可以顯示物件 (跟範例2結合)

{ 
“Version”: “2012–10–17”, 
“Statement”: [ 
   { 
      “Sid”: “statement1”, 
      “Effect”: “Allow”,
      “Action”: [
         “s3:ListAllMyBuckets”
      ],
      “Resource”: “arn:aws:s3:::*" 
   } ,   {
     "Effect": "Allow",
     "Action": [
       "s3:ListBucket"     ],
     "Resource": "arn:aws:s3:::/{bucketname}" // 可以查看此 bucket 嚇得 object   }    
 ] 
}

範例4: 授與 bucket object 的權限 (跟範例3結合)

{ 
“Version”: “2012–10–17”, 
“Statement”: [ 
   { 
      “Sid”: “statement1”, 
      “Effect”: “Allow”,
      “Action”: [
         “s3:ListAllMyBuckets”
      ],
      “Resource”: “arn:aws:s3:::*" 
   } ,   {
     "Effect": "Allow",
     "Action": [
       "s3:ListBucket"     ],
     "Resource": "arn:aws:s3:::{bucketname}" // 可以查看此 bucket 嚇得 object   } ,   { 
     "Effect": "Allow",     "Action": [
       "s3:GetObject",
       "s3:DeleteObject",
       "s3:PutObject"     ],
     "Resource": "arn:aws:s3:::{bucketname}/*" // 授與底下 bucket object 擁有 顯示、刪除、更新的權限   }   
 ] 
}

範例5: 授予 iam object 的 copy 、 rename等操作

{ 
“Version”: “2012–10–17”, 
“Statement”: [ 
   { 
      “Sid”: “statement1”, 
      “Effect”: “Allow”,
      “Action”: [
         “s3:ListAllMyBuckets”
      ],
      “Resource”: “arn:aws:s3:::*" 
   } ,   {
     "Effect": "Allow",
     "Action": [
       "s3:ListBucket"      ],
     "Resource": "arn:aws:s3:::{bucketname}" // 可以查看此 bucket 嚇得 object   } ,   { 
     "Effect": "Allow",     "Action": [
       "s3:GetObject",
       "s3:DeleteObject",
       "s3:PutObject",
       "s3:GetObjectAcl",  // 增加此項目
       "s3:PutObjectAcl"   // 增加此項目     ],
     "Resource": "arn:aws:s3:::{bucketname}/*" // 授與底下 bucket  object 擁有 顯示、刪除、更新、複製以及更名 object 的權限   }   
 ] 
}

參考資料:

Principals (委託人)

Principal 元素指定允許或拒絕存取資源的使用者、帳戶、服務或其他實體。 以下為指定 Principal 的範例。如需詳細資訊,請參閱 IAM 使用者指南 中的 委託人 。 若要將許可授予 AWS 帳戶,請找出使用下列格式的帳戶。…

docs.aws.amazon.com

AWS JSON policy elements: Principal

Use the Principal element in a policy to specify the principal that is allowed or denied access to a resource. You…

docs.aws.amazon.com

適用於 Amazon S3 的動作、資源及條件索引鍵

Amazon S3 (服務字首: s3) 提供可用於 IAM 許可政策的下列服務特定資源、動作和條件內容金鑰。 參考資料: 您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS…

docs.aws.amazon.com

AWS JSON policy elements: Principal

Use the Principal element in a policy to specify the principal that is allowed or denied access to a resource. You…

docs.aws.amazon.com

User Policy Examples

This section shows several IAM user policies for controlling user access to Amazon S3. For information about access…

docs.aws.amazon.com

Amazon Resource Name (ARN)

若我們提供該指南英語版本的翻譯,在有任何牴觸的狀況下請以英文版本的指南為主。其透過機器翻譯提供翻譯。 Amazon Resource Name (ARN) 唯一識別 AWS 資源。當您需要在所有 AWS 之間明確指定某個資源,例如 IAM…

docs.aws.amazon.com

Amazon S3 資源

以下是在 AWS 中識別資源的通用 Amazon Resource Name (ARN) 格式。 如需 ARN 的相關資訊,請參閱 AWS General Reference 中的 Amazon Resource Name (ARN) 。…

docs.aws.amazon.com

教學課程:使用 IAM 角色將存取權委派給不同 AWS 帳戶

此教學課程教導您如何使用角色將存取權委派給您所擁有不同 AWS 帳戶中的資源 (生產和開發)。您與不同帳戶中的使用者分享一個帳戶中的資源。透過以這種方式設定跨帳戶存取,您不需要在每個帳戶中建立個別的 IAM…

docs.aws.amazon.com

Amazon S3:可讓 IAM 使用者以程式設計方式和在主控台存取其 S3 主目錄

使用此 IAM 政策來提供存取 AWS 管理主控台中的 Amazon S3 主目錄。

docs.aws.amazon.com

[AWS][安全] S3存储桶策略-Bucket Policy_栗子哥的云计算博客-CSDN博客

在上一个实验"IAM 策略"中,我们了解到可以对 IAM 用户赋予一些策略,使这些用户只能 对特定的资源赋予特定的权限,以及在策略中,我们也可以通过变量的方式动态控制每一 个 IAM…

blog.csdn.net

Amazon Simple Storage Service

The DELETE operation removes the null version (if there is one) of an object and inserts a delete marker, which becomes…

iam.cloudonaut.io

使用者政策範例

本節示範數項控制 Amazon S3 使用者存取的 IAM 使用者政策。如需存取原則語言的詳細資訊,請參閱「 Amazon S3 中的政策和許可 」。 如果您是以程式設計方式對其進行測試,則適用以下範例政策。但是,若要以 Amazon…

docs.aws.amazon.com

AWS
S3
Policy

--

--

Gary Ng
Gary Ng

Written by Gary Ng

24 Followers
4 Following

軟體工程師、後端工程師

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams