【发布时间】:2020-01-30 06:35:18
【问题描述】:
我是 AWS 新手,并为静态站点托管创建了一个 s3 存储桶。我想允许所有人只读访问,以便他们可以访问该网站。什么样的设置组合给了我这种情况?我是否需要取消选中阻止公共访问设置中的所有 4 个设置?如果所有 4 个设置都设置为关闭,我是否还需要添加存储桶策略?我只想确保存储桶永远不会写入帐户持有人。谢谢。
【问题讨论】:
标签: amazon-web-services amazon-s3
【发布时间】:2020-01-30 06:35:18
【问题描述】:
阻止公共访问作为一个附加保护层,以防止 Amazon S3 存储桶被意外公开。
默认情况下,Amazon S3 中的所有内容都是私有的。然后,您可以通过几种不同的方式访问内容:
- 在存储桶级别,通过在所需存储桶上创建存储桶策略。添加到此存储桶的规则可用于授予对对象 (
GetObject) 的访问权限、列出内容、上传、删除等。策略也可以非常具体,例如仅允许访问特定的 IP 地址。 - 在对象级别,通过在每个单独的对象上配置 访问控制列表 (ACL)。例如,一个对象可以公开访问。
- 在 IAM 用户或 IAM 组级别,通过将 IAM 策略 直接添加到用户/组。这非常适合仅向特定的 IAM 用户集(而不是公开)授予访问权限。
- 通过使用以编程方式生成并提供对特定对象的限时访问的预签名 URL。这通常由应用程序用来授予对私有对象的访问权限。例如,照片共享网站会将所有照片保密,但授权用户可以查看自己的照片,或通过应用程序与他们共享的照片。
因此,在您的问题中,您说您希望“允许所有人进行只读访问,以便他们可以访问该网站”。这通常可以通过创建 Bucket Policy 来完成,例如:
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"MakeItPublic",
"Effect":"Allow",
"Principal": "*",
"Action":["s3:GetObject"],
"Resource":["arn:aws:s3:::my-bucket/*"]
}
]
}
您应该首先停用两个引用存储桶策略(底部两个)的阻止公共访问设置。
【讨论】:
-
要使存储桶策略起作用,我认为只需要禁用最后一个选项,即“通过任何公共存储桶或访问点策略阻止对存储桶和对象的公共和跨账户访问”