Na maioria das vezes, um usuário da empresa exige acesso a apenas um dos baldes S3. Nesse caso, dar acesso a todos os baldes não é uma ótima opção. Portanto, restringir o acesso do usuário a apenas um balde S3 específico é uma boa prática. Este post lhe ensinará exatamente como fazer isso.
Dando acesso a um balde específico
Vá para o console da AWS e faça login como usuário root:
No console da AWS, procure "iam" para entrar no console do IAM:
No console do IAM, entre no console "Usuários" no botão "Usuários" do painel de navegação lateral:
Depois disso, no console do usuário, selecione o usuário a quem você deseja permitir o acesso a um balde específico (para este artigo, o nome do usuário é "testuser"):
Fazer isso o levará aos detalhes sobre esse usuário específico:
Role para baixo até a guia de permissão e clique no botão "Adicionar permissões" e escolha "Política embutida":
Depois disso, você será levado para a página Criar Política:
Uma política pode ser criada através do editor visual ou através do JSON. Para esta postagem, você estará usando o editor visual. Dentro do editor visual, clique na opção "Escolha um serviço" e pesquise os serviços "S3" e clique nele:
Para a guia Ações, conceda ao usuário todo acesso (você pode fornecer permissão diferente de acordo com suas necessidades):
Na guia Recursos, clique em "específico" e você verá uma lista de todos os recursos diferentes na categoria S3:
Clique no "Adicionar ARN" na seção do balde para especificar o balde:
Na janela pop, você terá a opção de fornecer o nome do balde S3 ou do ARN:
Para obter o ARN do balde que você deseja conceder acesso, em uma guia separada, vá para o S3 Buckets Console. Na lista de baldes, selecione o balde e clique no botão "Copiar Arn":
Volte para a guia Política, cole no ARN na seção ARN e clique no botão "Adicionar":
Isso especificará o balde que você permite o acesso na guia de recursos:
Observação: Você também pode especificar o acesso a vários baldes
Depois disso, role a página e clique no botão "Política de revisão":
Depois disso, você será levado para uma página em que poderá ver a política que criará:
Forneça à sua política um nome específico:
Depois disso, basta clicar no botão "Criar política" na parte inferior da página:
Depois disso, sua política será criada e adicionada ao usuário. Para verificar isso, basta revisar a lista de políticas na página de detalhes do usuário:
Com isso, o usuário tem acesso apenas a esse balde S3 específico. No entanto, se outras políticas permitirem que o usuário tenha acesso a outros recursos, isso fará com que o usuário tenha acesso a outros baldes S3 também. Portanto, é uma boa prática escolher sabiamente todas as políticas alocadas aos usuários.
Conclusão
Com a ajuda do console do IAM, o usuário raiz da conta da AWS pode restringir facilmente qualquer usuário do IAM a ter acesso a apenas baldes S3 específicos. Esta não é apenas uma boa maneira de proteger seus dados dentro de outros baldes S3, mas também de proteger todos os seus outros recursos em execução na conta da AWS. Esta postagem ensinou a você como dar acesso a um balde S3 específico a um usuário na AWS.