Como configurar as permissões de balde S3 na AWS

Bryant Rowe Sr.
Como configurar as permissões de balde S3 na AWS
S3 (serviço de armazenamento simples) é o serviço de armazenamento fornecido pela AWS e armazena dados em baldes S3. Por padrão, todos os baldes S3 são privados e não podem ser acessados ​​publicamente pela Internet. Somente o usuário da AWS com permissões específicas pode acessar os objetos dentro do balde. Além disso, o acesso público nos objetos de balde S3 pode ser ativado e o objeto fica disponível para toda a Internet pública.

Existem dois tipos de permissões em um balde S3.

  • Baseado em usuário
  • Baseado em recursos

Para permissões baseadas em usuários, é criada uma política do IAM que define o nível de acesso de um usuário do IAM para os baldes S3 e seus objetos e está anexado ao usuário do IAM. Agora o usuário do IAM só tem acesso aos objetos específicos definidos na política do IAM.

As permissões baseadas em recursos são as permissões atribuídas aos recursos S3. Usando essas permissões, podemos definir se esse objeto S3 pode ser acessado em várias contas S3 ou não. Existem os seguintes tipos de políticas baseadas em recursos S3.

  • Políticas de balde
  • Lista de controle de acesso

Este artigo descreve as instruções detalhadas para configurar o balde S3 usando o AWS Management Console.

Permissões baseadas no usuário

Permissões baseadas no usuário são as permissões atribuídas ao usuário do IAM, que definem se o usuário do IAM tem acesso a alguns objetos S3 específicos ou não. Para esse fim, uma política do IAM é escrita e anexada ao usuário do IAM.

Esta seção escreverá uma política de IAM em linha para conceder permissões específicas ao usuário do IAM. Primeiro, faça login no console de gerenciamento da AWS e vá para o serviço IAM.

A política do IAM está anexada a um usuário ou a um grupo de usuários no IAM. Se você deseja aplicar a política do IAM a vários usuários, adicione todos os usuários a um grupo e anexe a política do IAM ao grupo.

Para esta demonstração, anexaremos a política do IAM a um único usuário. No console do IAM, clique no Usuários do painel lateral esquerdo.

Agora, na lista de usuários, clique no usuário que você deseja anexar a política do IAM.

Selecione os Permissões guia e clique no Adicionar política embutida botão no lado direito da guia.

Agora você pode criar a política do IAM usando o editor visual ou escrever um json. Usaremos o editor visual para escrever a política do IAM para esta demonstração.

Selecionaremos o serviço, ações e recursos do editor visual. Serviço é o serviço da AWS para o qual escreveremos a política. Para esta demonstração, S3 é o serviço.

As ações definem as ações permitidas ou negadas que podem ser executadas no S3. Como se pudéssemos adicionar uma ação ListBucket no S3, que permitirá ao usuário do IAM listar baldes S3. Para esta demonstração, vamos conceder apenas Lista e Ler permissões.

Recursos definem quais recursos S3 serão afetados por esta política de IAM. Se selecionarmos um recurso S3 específico, esta política será aplicável apenas a esse recurso. Para esta demonstração, selecionaremos todos os recursos.

Depois de selecionar o serviço, ação e recurso, agora clique em JSON guia, e exibirá um JSON estendido definindo todas as permissões. Mudar o Efeito de Permitir para Negar negar as ações especificadas aos recursos especificados na política.

Agora clique no Política de revisão botão no canto inferior direito do console. Ele pedirá o nome da política do IAM. Insira o nome da política e clique no criar política botão para adicionar política em linha ao usuário existente.

Agora o usuário do IAM não pode executar as ações especificadas na política do IAM em todos os recursos S3. Sempre que o IAM tentar executar uma ação negado, ele receberá o seguinte erro no console.

Permissões baseadas em recursos

Ao contrário das políticas do IAM, as permissões baseadas em recursos são aplicadas aos recursos S3, como baldes e objetos. Esta seção verá como configurar permissões baseadas em recursos no balde S3.

Políticas de balde

As políticas de balde S3 são usadas para conceder permissões ao balde S3 e seus objetos. Somente o proprietário do balde pode criar e configurar a política de balde. As permissões aplicadas pela política do balde afetam todos os objetos dentro do balde S3, exceto pelos objetos de propriedade de outras contas da AWS.

Por padrão, quando um objeto de outra conta da AWS é carregado no seu balde S3, ele é de propriedade de sua conta da AWS (escritor de objetos). Essa conta da AWS (escritor de objetos) tem acesso a esse objeto e pode conceder permissões usando ACLs.

As políticas de balde S3 são escritas no JSON e as permissões podem ser adicionadas ou negadas para os objetos dos baldes S3 usando essas políticas. Esta seção escreverá uma política de balde de demonstração e a anexará ao balde S3.

Primeiro, vá para S3 do console de gerenciamento da AWS.

Vá para o balde S3 que você deseja aplicar a política de balde.

Vou ao permissões guia no balde S3.

Role para baixo até o Política de balde seção e clique no editar Botão no canto superior direito da seção para adicionar política de balde.

Agora adicione a seguinte política de balde ao balde S3. Esta Política de Bucket de amostra bloqueará todas as ações no balde S3, mesmo se você tiver uma política de IAM que conceda acesso ao S3 anexado ao usuário. No Recurso campo da política, substitua o Nome do balde Com o seu nome de balde S3 antes de anexá -lo ao balde S3.

Para escrever uma política de balde S3 personalizada, visite o gerador de políticas da AWS a partir do seguinte URL.

https: // awspolicygen.S3.Amazonaws.com/PolicyGen.html


"Versão": "2012-10-17",
"Id": "Policy-1",
"Declaração": [

"Sid": "Política para bloquear todo o acesso no S3",
"Effect": "nega",
"Diretor": "*",
"Ação": "S3:*",
"Recurso": "Arn: AWS: S3 :::Nome do balde/*"

]

Depois de anexar a política do balde S3, agora tente fazer upload de um arquivo no balde S3, e ele lançará o seguinte erro.

Listas de controle de acesso

Listas de controle de acesso Amazon S3 Gerenciar acesso nos níveis de balde S3 e S3. Cada balde e objeto S3 tem uma lista de controle de acesso associada a ele e, sempre que uma solicitação é recebida, o S3 verifica sua lista de controle de acesso e decide se a permissão será concedida ou não.

Esta seção configurará a lista de controle de acesso S3 para tornar o S3 Bucket Public para que todos no mundo possam acessar os objetos armazenados no balde.

OBSERVAÇÃO: Certifique -se de não ter nenhum dado secreto no balde antes de seguir esta seção, pois tornaremos nosso S3 Bucket Public, e seus dados serão expostos à Internet pública.

Primeiro, vá para o serviço S3 do console de gerenciamento da AWS e selecione o balde que você deseja configurar a lista de controle de acesso para. Antes de configurar a lista de controle de acesso, primeiro, configure o acesso público ao balde para permitir o acesso público ao balde.

No balde S3, vá para o permissões aba.

Role para baixo até o Bloqueie o acesso público seção no permissões guia e clique no editar botão.

Ele abrirá opções diferentes para bloquear o acesso concedido através de diferentes políticas. Desmarque as caixas bloqueando o acesso concedido pela lista de controle de acesso e clique em salvar alterações botão.

No balde S3, clique no objeto que você deseja tornar público e vá para a guia Permissões.

Clique no editar botão no canto direito do permissões guia e verifique as caixas que permitem o acesso a qualquer pessoa ao objeto.

Clique no salvar alterações Para aplicar a lista de controle de acesso e agora o objeto S3 é acessível a qualquer pessoa pela Internet. Vá para a guia Propriedades do objeto S3 (não o balde S3) e copie o URL do objeto S3.

Abra o URL no navegador e ele abrirá o arquivo no navegador.

Conclusão

AWS S3 pode ser usado para colocar dados que podem ser acessíveis na Internet. Mas, ao mesmo tempo, pode haver alguns dados que você não deseja expor ao mundo. O AWS S3 fornece uma configuração de baixo nível que pode ser usada para permitir ou bloquear o acesso no nível do objeto. Você pode configurar permissões de balde S3 de tal maneira que alguns objetos no balde possam ser públicos, e alguns podem ser privados ao mesmo tempo. Este artigo fornece orientações essenciais para configurar as permissões de balde S3 usando o AWS Management Console.

php
Como verificar se uma matriz está vazia em php?
Encontrar uma matriz vazia no PHP é crucial para garantir a execução suave e sem erros do código. Es...
Bryant Rowe Sr.
C ++
O que é endereço de memória em C ++ e como encontrá -lo?
Um endereço de memória é a localização de uma variável na RAM onde os dados são armazenados e podem ...
Bryant Rowe Sr.
Git
Quais são as etapas para renomear um arquivo no git?
Para renomear um arquivo no git, primeiro, vá para o diretório raiz e listar seu conteúdo. Em seguid...
Joey Bartoletti
Pitão
Converter string para definir python
Ed Treutel IV
Windows OS
O que é o Windows Package Manager
Tommie Konopelski
Pitão
Converter uma string em json python
Jackie Blanda
Ubuntu
Como instalar o CUDA no Ubuntu Top 10.Top 10 LTS
Shaun Bogan
Windows OS
Como ativar a área de trabalho remota no PC
Rickey Greenholt
Java
O que são expressões, declarações e blocos em java
Carl Hintz DDS
Banco de dados Oracle
Qual é o objetivo do Oracle Cerner?
Benny Hilll DDS
Powershell
Você pode explicar a funcionalidade do comando de localização de PowerShell?
Benny Hilll DDS
Powershell
O que é comando renomear-itens em PowerShell?
Tommie Konopelski
C nítido
Como usar uma palavra -chave longa em C#
Ed Treutel IV