Comment configurer les autorisations de seau S3 sur AWS

Comment configurer les autorisations de seau S3 sur AWS
S3 (Service de stockage simple) est le service de stockage fourni par AWS et Stores Data dans les seaux S3. Par défaut, tous les seaux S3 sont privés et ne peuvent pas être accessibles publiquement sur Internet. Seul l'utilisateur AWS avec des autorisations spécifiques peut accéder aux objets à l'intérieur du seau. De plus, l'accès public sur les objets de seau S3 peut être activé, et l'objet devient disponible pour tous les Internet publics.

Il existe deux types d'autorisations dans un seau S3.

  • Utilisateur
  • Basé sur les ressources

Pour les autorisations basées sur l'utilisateur, une stratégie IAM est créée qui définit le niveau d'accès d'un utilisateur IAM aux seaux S3 et ses objets et est attaché à l'utilisateur IAM. Maintenant, l'utilisateur IAM n'a accès qu'aux objets spécifiques définis dans la stratégie IAM.

Les autorisations basées sur les ressources sont les autorisations attribuées aux ressources S3. En utilisant ces autorisations, nous pouvons définir si cet objet S3 est accessible sur plusieurs comptes S3 ou non. Il existe les types suivants de politiques basées sur les ressources S3.

  • Politiques de seau
  • Liste de contrôle d'accès

Cet article décrit les instructions détaillées pour configurer le seau S3 à l'aide de la console de gestion AWS.

Autorisations basées sur l'utilisateur

Les autorisations basées sur l'utilisateur sont les autorisations attribuées à l'utilisateur IAM, qui définissent si l'utilisateur IAM a accès à certains objets S3 spécifiques ou non. À cette fin, une politique IAM est écrite et attachée à l'utilisateur IAM.

Cette section rédigera une politique IAM en ligne pour accorder des autorisations spécifiques à l'utilisateur IAM. Tout d'abord, connectez-vous à la console de gestion AWS et allez au service IAM.

La stratégie IAM est attachée à un utilisateur ou à un groupe d'utilisateurs en IAM. Si vous souhaitez appliquer la stratégie IAM à plusieurs utilisateurs, ajoutez tous les utilisateurs dans un groupe et joignez la politique IAM au groupe.

Pour cette démo, nous joindrons la politique IAM à un seul utilisateur. Depuis la console IAM, cliquez sur le utilisateurs du panneau latéral gauche.

Maintenant, à partir de la liste des utilisateurs, cliquez sur l'utilisateur que vous souhaitez joindre la stratégie IAM.

Sélectionnez le Autorisation onglet et cliquez sur le Ajouter une stratégie en ligne bouton en côté droit de l'onglet.

Vous pouvez maintenant créer la politique IAM en utilisant l'éditeur visuel ou écrire un JSON. Nous utiliserons l'éditeur visuel pour écrire la politique IAM pour cette démo.

Nous sélectionnerons le service, les actions et les ressources de l'éditeur visuel. Le service est le service AWS pour lequel nous rédigerons la politique. Pour cette démo, S3 est le service.

Les actions définissent les actions autorisées ou refusées qui peuvent être effectuées sur S3. Comme nous pouvons ajouter une action Listbucket sur S3, qui permettra à l'utilisateur IAM de répertorier les seaux S3. Pour cette démo, nous n'accorderons que Liste et Lire autorisation.

Les ressources définissent quelles ressources S3 seront affectées par cette politique IAM. Si nous sélectionnons une ressource S3 spécifique, cette politique sera applicable à cette ressource uniquement. Pour cette démo, nous sélectionnerons toutes les ressources.

Après avoir sélectionné le service, l'action et la ressource, cliquez maintenant sur le Json Onglet, et il affichera un JSON étendu définissant toutes les autorisations. Changer la Effet depuis Permettre pour Refuser pour nier les actions spécifiées aux ressources spécifiées de la politique.

Maintenant cliquez sur le examen de la politique bouton dans le coin inférieur droit de la console. Il demandera le nom de la politique IAM. Entrez le nom de la politique et cliquez sur le créer une politique bouton pour ajouter une stratégie en ligne à l'utilisateur existant.

Maintenant, l'utilisateur IAM ne peut pas effectuer les actions spécifiées dans la politique IAM sur toutes les ressources S3. Chaque fois que l'IAM essaie d'effectuer une action refusée, il obtiendra l'erreur suivante sur la console.

Autorisations basées sur les ressources

Contrairement aux politiques IAM, des autorisations basées sur les ressources sont appliquées aux ressources S3 comme les seaux et les objets. Cette section verra comment configurer les autorisations basées sur les ressources sur le seau S3.

Politiques de seau

Les politiques de seau S3 sont utilisées pour accorder des autorisations au seau S3 et à ses objets. Seul le propriétaire du seau peut créer et configurer la stratégie du seau. Les autorisations appliquées par la stratégie du seau affectent tous les objets à l'intérieur du seau S3 à l'exception des objets appartenant à d'autres comptes AWS.

Par défaut, lorsqu'un objet d'un autre compte AWS est téléchargé sur votre seau S3, il appartient à son compte AWS (écrivain d'objet). Ce compte AWS (rédacteur d'objets) a accès à cet objet et peut accorder des autorisations à l'aide d'ACLS.

Les politiques S3 Bucket sont écrites en JSON, et les autorisations peuvent être ajoutées ou refusées pour les objets de seaux S3 en utilisant ces politiques. Cette section rédigera une stratégie de seau S3 Demo et la joignera au seau S3.

Tout d'abord, allez à S3 depuis la console de gestion AWS.

Accédez au seau S3 que vous souhaitez appliquer la politique de seau.

Aller au autorisation Onglet dans le seau S3.

Faites défiler vers le bas vers le Politique de seau section et cliquez sur le modifier bouton dans le coin supérieur droit de la section pour ajouter la stratégie de seau.

Ajoutez maintenant la politique de seau suivante au seau S3. Cet exemple de stratégie de godet bloquera chaque action sur le seau S3 même si vous avez une stratégie IAM qui accorde l'accès à S3 attaché à l'utilisateur. Dans le Ressource champ de la politique, remplacez le Nom de seau avec votre nom de seau S3 avant de le fixer au seau S3.

Afin d'écrire une politique de seau S3 personnalisée, visitez le générateur de politique AWS à partir de l'URL suivante.

https: // awspolicygen.S3.Amazonaws.com / politiqueGen.html


"Version": "2012-10-17",
"Id": "politique-1",
"Déclaration": [

"Sid": "Politique pour bloquer tout accès sur S3",
"Effet": "nier",
"Principal": "*",
"Action": "S3: *",
"Ressource": "Arn: AWS: S3 :::Nom de seau/ * "

]]

Après avoir attaché la stratégie S3 Bucket, essayez maintenant de télécharger un fichier dans le seau S3, et il lancera l'erreur suivante.

Listes de contrôle d'accès

Les listes de contrôle d'accès Amazon S3 Gérer l'accès au niveau S3 et les niveaux d'objets S3. Chaque seau et objet S3 a une liste de contrôle d'accès qui lui est associée, et chaque fois qu'une demande est reçue, S3 vérifie sa liste de contrôle d'accès et décide si l'autorisation sera accordée ou non.

Cette section configurera la liste de contrôle d'accès S3 pour rendre le seau S3 public afin que tout le monde dans le monde puisse accéder aux objets stockés dans le seau.

NOTE: Assurez-vous de ne pas avoir de données secrètes dans le seau avant de suivre cette section car nous rendrons notre seau S3 public, et vos données seront exposées à l'Internet public.

Tout d'abord, accédez au service S3 à partir de la console de gestion AWS et sélectionnez le seau que vous souhaitez configurer la liste de contrôle d'accès pour. Avant de configurer la liste de contrôle d'accès, configurez d'abord l'accès public pour permettre au public d'accéder sur le seau.

Dans le seau S3, allez au autorisation languette.

Faites défiler vers le bas vers le Bloquer l'accès public section dans le autorisation onglet et cliquez sur le modifier bouton.

Il ouvrira différentes options pour bloquer l'accès accordé par différentes politiques. Décochez les cases bloquant l'accès accordé par la liste de contrôle d'accès et cliquez sur le Sauvegarder les modifications bouton.

Dans le seau S3, cliquez sur l'objet que vous souhaitez rendre public et accédez à l'onglet Autorisations.

Clique sur le modifier bouton dans le coin droit du autorisation onglet et cochez les cases permettant d'accéder à quiconque à l'objet.

Clique sur le Sauvegarder les modifications Pour appliquer la liste de contrôle d'accès, et maintenant l'objet S3 est accessible à toute personne sur Internet. Accédez à l'onglet Propriétés de l'objet S3 (pas le seau S3) et copiez l'URL de l'objet S3.

Ouvrez l'URL dans le navigateur et ouvrira le fichier dans le navigateur.

Conclusion

AWS S3 peut être utilisé pour mettre des données qui peuvent être accessibles sur Internet. Mais en même temps, il peut y avoir des données que vous ne souhaitez pas exposer au monde. AWS S3 fournit une configuration de bas niveau qui peut être utilisée pour permettre ou bloquer l'accès au niveau de l'objet. Vous pouvez configurer les autorisations S3 Bucket de telle manière que certains objets dans le seau peuvent être publics, et certains peuvent être privés en même temps. Cet article donne des conseils essentiels pour configurer les autorisations S3 Bucket à l'aide de la console de gestion AWS.