J'ai besoin d'un Amazon S3 utilisateur avec un accès complet à un seul compartiment

J'ai un utilisateur foo avec les privilèges suivants (il n'est pas membre d'un groupe):

{
  "Statement": [
    {
      "Sid": "Stmt1308813201865",
      "Action": "s3:*",
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::bar"
    }
  ]
}

Que l'utilisateur semble cependant pas en mesure de télécharger ou de faire beaucoup de chose jusqu'à ce que je accorder un accès complet aux utilisateurs authentifiés (qui pourrait s'appliquer à n'importe qui). Ce n'est toujours pas permettre à l'utilisateur de modifier l'autorisation que boto est en train de lancer un message d'erreur après un téléchargement, quand il essaie de faire de faire key.set_acl('public-read').

Idéalement, l'utilisateur aurait accès complet à la bar seau et rien d'autre, ce que je fais mal?

InformationsquelleAutor Kit Sunde | 2011-11-20
  1. 41

    Vous devez accorder s3:ListBucket la permission de le seau lui-même. Essayez la politique ci-dessous.

    {
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "S3:*",
      "Resource": "arn:aws:s3:::bar/*",
      "Condition": {}
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": "arn:aws:s3:::bar",
      "Condition": {}
    }
  ]
}
    • Certaines nuances: Il semble que bar/* est nécessaire pour accéder à des objets à l'intérieur de la bar seau, tandis que bar est nécessaire à la liste/modifier le seau lui-même.
    • À l'aide de Cyberduck pour accéder S3 avec l'autorisation ci-dessus ne semble pas fonctionner. Il se peut que Cyberduck besoins ListAllMyBuckets comme mentionné par @Suman. Toutefois, si vous utilisez l'outil de ligne de commande à partir de timkay.com, cela fonctionne parfaitement.
    • Merci un million. Je F$%#@^ING haine s3 avec sa lourdeur des politiques. Viens de perdre 2 heures jusqu'à ce que je trouve enfin la solution.
    • Il travaille dans Cyberduck si vous réglez "Chemin" dans "Plus d'Options" pour le seau nom. Ensuite, vous n'avez pas besoin d'ajouter ListAllMyBuckets.
    • Voudrais juste confirmer ce que @JoarLeth dit: si vous définissez le chemin d'accès dans cyberduck d'options de connexion, alors vous n'avez pas besoin d'une autorisation ListAllMyBuckets
    InformationsquelleAutor cloudberryman
  2. 20

    La réponse choisie n'a pas fonctionné pour moi, mais il n':

    {
  "Statement": [
    {
      "Action": "s3:*",
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::my-bucket",
        "arn:aws:s3:::my-bucket/*"
      ]
    }
  ],
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

    De crédit: http://mikeferrier.com/2011/10/27/granting-access-to-a-single-s3-bucket-using-amazon-iam/

    • Cela permet l'inscription de toutes les seaux et ne limite pas l'accès à simplement le seau en question.
    • +1 pour moi: l'élu l'un ne fonctionne pas avec Ruby Brouillard gem mais cette conf travaillé de.
    • Nguyen: Faux. C'est la liste de tous les compartiments, mais fournira l'accès uniquement à la dit seau dans la politique.
    • J'avais besoin de cette recette pour permettre à mon IAM utilisateur d'accéder à la S3 de la console.
    InformationsquelleAutor Suman
  3. 8

    Êtes-vous conscient de la Générateur de Politique AWS?

    • Oui, mais il ne répond pas à la question.
    • le générateur de politique soulève plus de questions que de réponses
    InformationsquelleAutor Ryan Parman
  4. 2

    Il y a un officiel AWS documentation à Rédaction de Politiques IAM: Comment Accorder l'Accès à un compartiment Amazon S3

    Il suffit de copier et coller la règle appropriée et changer la "Ressource" pour votre seau de l'ARN dans tous les États.

    Pour programamtic accès la politique devrait être:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:ListBucket"],
            "Resource": ["arn:aws:s3:::bar"]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": ["arn:aws:s3:::bar/*"]
        }
    ]
}

    Et pour d'accès à la console l'accès devrait être:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "arn:aws:s3:::bar*"
        },
        {
            "Effect": "Allow",
            "Action": ["s3:ListBucket"],
            "Resource": ["arn:aws:s3:::bar"]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": ["arn:aws:s3:::bar/*"]
        }
    ]
}
    InformationsquelleAutor Marcio Mazzucato
  5. 0

    Qui fonctionne pour moi: 

    {
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:ListBucketMultipartUploads",
                "s3:ListBucketVersions"
            ],
            "Resource": "arn:aws:s3:::bucket_name_here"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:*Object*",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload"
            ],
            "Resource": "arn:aws:s3:::bucket_name_here/*"
        }
    ]
}
    InformationsquelleAutor Vlad E. Borovtsov
  6. 0

    Si vous avez été arracher les cheveux parce que vous ne pouvez pas comprendre pourquoi Cyberduck est de ne pas être en mesure de définir l'objet Acl, mais il fonctionne avec un autre client (comme la Panique Transmettre) voici la solution:

    Vous devez ajouter s3:GetBucketAcl à votre liste d'actions, par exemple:

    {
    "Statement": [
        {
            "Sid": "Stmt1",
            "Action": [
                "s3:GetBucketAcl",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::your-bucket-name"
        }
    ]
}

    Bien sûr, vous n'avez pas besoin de faire cela si vous êtes moins restrictive avec s3:* mais je pense que c'est bon à savoir.

    InformationsquelleAutor daniel
  7. 0

    @cloudberryman réponse est bonne, mais j'aime faire des choses aussi court que possible. Cette réponse peut être réduite à:

    {  
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":"S3:*",
         "Resource":[  
            "arn:aws:s3:::bar",
            "arn:aws:s3:::bar/*"
         ]
      }
   ]
}
    InformationsquelleAutor Sam Rueby
  8. 0
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                        "s3:GetBucketLocation",
                        "s3:ListAllMyBuckets"
                      ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::YOUR-BUCKET",
                "arn:aws:s3:::YOUR-BUCKET/*"
            ]
        }
    ]
}
    InformationsquelleAutor Rishikesh
  9. 0

    Permettre seau intérieur des dossiers en mentionnant comme ci-dessous en ressources, Aussi, vous devez donner la liste de l'autorisation de tous les compartiments. Découvrez ci-dessous la politique de l'échantillon, 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::example-bucket",
                "arn:aws:s3:::example-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        }
    ]
}

    Connaître plus de détails sur cet trouver cet l'article.

    InformationsquelleAutor Karthik