S3: l'Utilisateur ne peut pas accéder à l'objet dans son propre compartiment s3 si elle est créée par un autre utilisateur

Un utilisateur a accès à notre compartiment s3, à l'aide de ces actions dans notre seau politique:

"Action": [
            "s3:GetObjectAcl",
            "s3:GetObject",
            "s3:PutObjectAcl",
            "s3:ListMultipartUploadParts",
            "s3:PutObject"
        ]

Que généré par l'utilisateur temporaire des informations d'identification, qui ont ensuite été utilisé pour télécharger un fichier dans notre seau.

Maintenant, je ne peut pas accéder au fichier. Dans le s3 de l'INTERFACE utilisateur, si j'essaie de télécharger le fichier, je reçois un 403. Si je tente de modifier les autorisations sur l'objet, je vois le message : "Désolé! Vous n'avez pas les autorisations pour afficher ce seau." Si l'utilisateur externe définit l'en-tête approprié (x-amz-acl seau-propriétaire-contrôle total) lors du téléchargement du fichier avec les informations d'identification temporaires, je peux accéder au fichier normalement. Il me semble étrange que, même si je possède le seau, il est possible pour l'utilisateur externe pour mettre des fichiers en il que je suis incapable d'accès.

Est-il possible qu'il y est une politique que je peux, donc je peut accéder au fichier, ou alors que je suis en mesure d'accéder tout fichier est ajouté à mon seau, indépendamment de comment il est ajouté? Merci!

InformationsquelleAutor eric | 2015-12-02
  1. 24

    Je crois que vous avez pour obtenir le propriétaire de l'objet à mettre à jour la liste ACL ou de ré-écrire l'objet en spécifiant propriétaire du compartiment contrôle total. La façon la plus simple d'expérimenter avec des c'est à l'aide de la CLI:

    aws s3api put-object-acl --acl bucket-owner-full-control --bucket some-bucket --key path/to/unreadable.txt

    Ouais, je pense que vous avez à faire qu'une fois pour chaque objet, je ne pense pas qu'il y est une option récursif.

    AWS publie un exemple seau politique à empêcher ajout d'objets dans le seau sans donner au propriétaire du compartiment contrôle total. Mais ce ne sera pas l'adresse de la propriété des objets déjà dans votre seau.

    Je ne sais pas du tout de la politique qui sera automatiquement transférer la propriété du propriétaire du compartiment.

    • Vous avez raison, et c'est par la conception. Si vous permettez à d'autres utilisateurs afin de les importer dans votre seau, et ne pas appliquer bucket-owner-full-control sur les téléchargements avec le seau de la politique, puis le que action à la disposition du propriétaire du compartiment est de supprimer l'objet. Tout le reste nécessite une autorisation accordée par le propriétaire de l'objet.
    • Comme une note de bas de page, pour que cela fonctionne avec le cp ou mv commande l'utilisateur a besoin d'une autorisation pour PutObjectAcl de l'action ainsi, cette connaissance me sauver d'une heure 😉
    InformationsquelleAutor James
  2. 15

    vous pouvez réellement utiliser une copie récursive option pour copier tous les objets de retour au seau et à l'ensemble de l'acl seau-propriétaire-le plein contrôle à l'aide de la syntaxe suivante:

    aws s3 cp s3://myBucket s3://myBucket --recursive --acl bucket-owner-full-control --storage-class STANDARD
    • Utilisez cette commande avec les informations d'identification du compte qui ne le téléchargement originale pour donner le seau-propriétaire-contrôle total, mais à ce point, le compte qui a fait le téléchargement originale possède toujours les objets S3. Si vous avez besoin, répétez cette commande avec les informations d'identification du compte de posséder le seau à donner à ce compte la propriété des objets S3 ainsi.
    InformationsquelleAutor user307297