AWS 用户与资源权限

【问题标题】:AWS User vs Resource PermissionsAWS 用户与资源权限
【发布时间】:2015-12-04 13:31:14
【问题描述】:

当用户对资源具有基于资源的权限但没有对该服务的基于用户的权限时。他可以使用那个服务吗?

示例:用户 Jack 具有使用 S3 存储桶“jamm”的基于资源的权限。但是 Jack 没有使用 S3 的权限。 Jack 可以使用 S3 存储桶吗?

【问题讨论】:

  • 您如何定义基于资源的权限?以及如何禁止 Jack 使用 S3?
  • 基于资源的权限:在您的 S3 存储桶中 -> 属性 -> 权限-> 将 jack 添加到被授权者 用户群:只给 jack 没有权限,他不会拥有它..

标签: amazon-web-services amazon-s3 permissions


【解决方案1】:

如果您没有访问 S3 服务的权限,则根本无法使用它。

要访问任何 S3 存储桶,您必须具有执行 S3 命令的权限,例如 s3:GetObject。这些权限告诉 AWS 允许用户执行哪些命令。任何未明确允许的内容都会被自动拒绝。

S3 存储桶策略(您的资源级权限)指示 S3 服务允许哪些用户访问该存储桶。但这只会发生在用户被授予执行访问存储桶的 S3 命令所需的权限之后。

所以你需要:

  1. 授予用户执行 S3 命令以访问存储桶的权限(默认为无),并且
  2. 为存储桶提供策略以限制可以访问该存储桶的用户(默认为 AWS 账户中的任何人)

可以将一些 S3 命令限制在您的存储桶中,因此用户有权执行s3:GetObject(例如),但仅限于您的存储桶。

但是有些命令,比如s3:ListAllMyBuckets不能这样限制。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2021-05-19
    • 2018-04-21
    • 1970-01-01
    • 1970-01-01
    • 2021-05-29
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode