Come configurare le autorizzazioni di secchio S3 su AWS

Come configurare le autorizzazioni di secchio S3 su AWS
S3 (Simple Storage Service) è il servizio di archiviazione fornito da AWS e memorizza i dati in secchi S3. Per impostazione predefinita, tutti i secchi S3 sono privati ​​e non è possibile accedere pubblicamente su Internet. Solo l'utente AWS con autorizzazioni specifiche può accedere agli oggetti all'interno del secchio. Inoltre, l'accesso al pubblico sugli oggetti S3 Bucket può essere abilitato e l'oggetto diventa disponibile per tutte le Internet pubbliche.

Esistono due tipi di autorizzazioni in un secchio S3.

  • Basato sull'utente
  • Basato sulle risorse

Per le autorizzazioni basate sull'utente, viene creata una politica IAM che definisce il livello di accesso di un utente IAM ai secchi S3 e ai suoi oggetti ed è allegata all'utente IAM. Ora l'utente IAM ha solo accesso agli oggetti specifici definiti nella politica IAM.

Le autorizzazioni basate sulle risorse sono le autorizzazioni assegnate alle risorse S3. Usando queste autorizzazioni, possiamo definire se è possibile accedere a questo oggetto S3 su più account S3 o meno. Esistono i seguenti tipi di politiche basate sulle risorse S3.

  • Politiche del secchio
  • Elenco di controllo degli accessi

Questo articolo descrive le istruzioni dettagliate per configurare il secchio S3 utilizzando la console di gestione AWS.

Autorizzazioni basate sull'utente

Le autorizzazioni basate sull'utente sono le autorizzazioni assegnate all'utente IAM, che definiscono se l'utente IAM ha accesso ad alcuni oggetti S3 specifici o no. A tale scopo, una politica IAM è scritta e allegata all'utente IAM.

Questa sezione scriverà una politica IAM in linea per concedere autorizzazioni specifiche all'utente IAM. Innanzitutto, accedi alla console di gestione AWS e vai al servizio IAM.

La politica IAM è allegata a un utente o a un gruppo di utenti in IAM. Se si desidera applicare la politica IAM a più utenti, aggiungi tutti gli utenti in un gruppo e allega la politica IAM al gruppo.

Per questa demo, alletteremo la politica IAM a un singolo utente. Dalla console IAM, fai clic su utenti Dal pannello lato sinistro.

Ora dall'elenco degli utenti, fai clic sull'utente che si desidera allegare la politica IAM.

Seleziona il Autorizzazioni Scheda e fare clic su Aggiungi politica in linea pulsante sul lato destro della scheda.

Ora puoi creare la politica IAM usando l'editor visivo o scrivere un JSON. Useremo l'editor visivo per scrivere la politica IAM per questa demo.

Selezioneremo il servizio, le azioni e le risorse dall'editor visivo. Il servizio è il servizio AWS per il quale scriveremo la politica. Per questa demo, S3 è il servizio.

Le azioni definiscono le azioni consentite o negate che possono essere eseguite su S3. Come se potessimo aggiungere un'azione ListBucket Su S3, che consentirà all'utente IAM di elencare i secchi S3. Per questa demo, concederemo solo Elenco E Leggere autorizzazioni.

Le risorse definiscono quali risorse S3 saranno interessate da questa politica IAM. Se selezioniamo una risorsa S3 specifica, questa politica sarà applicabile solo a tale risorsa. Per questa demo, selezioneremo tutte le risorse.

Dopo aver selezionato il servizio, l'azione e la risorsa, ora fai clic su JSON Tab e visualizzerà un JSON esteso che definisce tutte le autorizzazioni. Cambiare il Effetto da Permettere A Negare Negare le azioni specifiche alle risorse specificate nella politica.

Ora fai clic su Politica di revisione pulsante nell'angolo in basso a destra della console. Chiederà il nome della politica IAM. Immettere il nome della politica e fare clic su creare politica Pulsante per aggiungere la politica in linea all'utente esistente.

Ora l'utente IAM non può eseguire le azioni specificate nella politica IAM su tutte le risorse S3. Ogni volta che lo IAM cerca di eseguire un'azione negata, riceverà il seguente errore sulla console.

Autorizzazioni basate sulle risorse

A differenza delle politiche IAM, le autorizzazioni basate sulle risorse vengono applicate alle risorse S3 come secchi e oggetti. Questa sezione vedrà come configurare le autorizzazioni basate sulle risorse sul secchio S3.

Politiche del secchio

Le politiche del secchio S3 vengono utilizzate per concedere le autorizzazioni al secchio S3 e ai suoi oggetti. Solo il proprietario del bucket può creare e configurare la politica del secchio. Le autorizzazioni applicate dalla politica del secchio influiscono su tutti gli oggetti all'interno del bucket S3 ad eccezione di quegli oggetti di proprietà di altri account AWS.

Per impostazione predefinita, quando un oggetto di un altro account AWS viene caricato nel tuo secchio S3, è di proprietà del suo account AWS (Writer Object Writer). Quel account AWS (Writer Object) ha accesso a questo oggetto e può concedere le autorizzazioni utilizzando ACLS.

Le politiche del secchio S3 sono scritte in JSON e le autorizzazioni possono essere aggiunte o negate per gli oggetti dei secchi S3 usando queste politiche. Questa sezione scriverà una politica del secchio S3 demo e la allegerà al secchio S3.

Innanzitutto, vai a S3 dalla console di gestione AWS.

Vai al secchio S3 che vuoi applicare la politica del secchio.

Vai al autorizzazioni Scheda nel secchio S3.

Scorri verso il basso fino a Politica del secchio sezione e fare clic su modificare Pulsante nell'angolo in alto a destra della sezione per aggiungere la politica del secchio.

Ora aggiungi la seguente politica del secchio al secchio S3. Questa politica del secchio di esempio bloccerà ogni azione sul secchio S3 anche se si dispone di una politica IAM che concede l'accesso a S3 allegato all'utente. Nel Risorsa campo della politica, sostituire il Secchio con il nome del secchio S3 prima di attaccarlo al secchio S3.

Per scrivere una politica di secchio S3 personalizzata, visitare il generatore di politiche AWS dal seguente URL.

https: // awspolicygen.S3.Amazonaws.com/poliligengen.html


"Versione": "2012-10-17",
"Id": "Politico-1",
"Dichiarazione": [

"Sid": "Politica per bloccare tutto l'accesso su S3",
"Effetto": "Deny",
"Principal": "*",
"Azione": "S3:*",
"Resource": "Arn: AWS: S3 :::Secchio/*"

"

Dopo aver allegato la politica del secchio S3, ora prova a caricare un file nel secchio S3 e lancerà il seguente errore.

Elenchi di controllo degli accessi

Gli elenchi di controlli di accesso Amazon S3 gestiscono l'accesso ai livelli di oggetti S3 Bucket e S3. Ogni secchio e oggetto S3 ha un elenco di controllo degli accessi ad esso associato e ogni volta che viene ricevuta una richiesta, S3 controlla l'elenco dei controlli di accesso e decide se l'autorizzazione sarà concessa o meno.

Questa sezione configurerà l'elenco di controllo degli accessi S3 per rendere pubblica il bucket S3 in modo che tutti nel mondo possano accedere agli oggetti memorizzati nel secchio.

NOTA: Assicurati di non avere dati segreti nel secchio prima di seguire questa sezione poiché renderemo pubblica il nostro secchio S3 e i tuoi dati saranno esposti a Internet pubblico.

Innanzitutto, vai al servizio S3 dalla console di gestione AWS e seleziona il bucket per cui si desidera configurare l'elenco di controllo degli accessi. Prima di configurare l'elenco di controllo degli accessi, in primo luogo, configurare l'accesso al pubblico bucket per consentire l'accesso al pubblico sul bucket.

Nel secchio S3, vai al autorizzazioni scheda.

Scorri verso il basso fino a Blocca l'accesso al pubblico sezione nella autorizzazioni Scheda e fare clic su modificare pulsante.

Aprirà diverse opzioni per bloccare l'accesso concesso tramite politiche diverse. Deseleziona le caselle che bloccano l'accesso concesso dall'elenco di controllo degli accessi e fai clic su Salvare le modifiche pulsante.

Dal secchio S3, fai clic sull'oggetto che si desidera rendere pubblico e andare alla scheda Autorizzazioni.

Clicca sul modificare pulsante nell'angolo destro del autorizzazioni Scheda e selezionare le caselle che consentono l'accesso a chiunque all'oggetto.

Clicca sul Salvare le modifiche Per applicare l'elenco di controllo degli accessi e ora l'oggetto S3 è accessibile a chiunque su Internet. Vai alla scheda Proprietà dell'oggetto S3 (non al bucket S3) e copia l'URL dell'oggetto S3.

Apri l'URL nel browser e aprirà il file nel browser.

Conclusione

AWS S3 può essere utilizzato per mettere dati che possono essere accessibili su Internet. Ma allo stesso tempo, potrebbero esserci alcuni dati che non si desidera esporre al mondo. AWS S3 fornisce una configurazione di basso livello che può essere utilizzata per consentire o bloccare l'accesso a livello di oggetti. È possibile configurare le autorizzazioni del secchio S3 in modo tale che alcuni oggetti nel secchio possano essere pubblici e alcuni potrebbero essere privati ​​allo stesso tempo. Questo articolo fornisce una guida essenziale per configurare le autorizzazioni di secchio S3 utilizzando la console di gestione AWS.