Amazon S3 基于身份的策略示例
本节介绍用于控制对 Amazon S3 的访问权限的几个基于 Amazon Identity and Access Management(IAM)身份的策略示例。有关存储桶策略(基于资源的策略)的示例,请参阅 Amazon S3 的存储桶策略。有关 IAM 策略语言的信息,请参阅Amazon S3 中的策略和权限。
如果以编程方式使用以下示例策略,它们将正常工作。不过,要在 Amazon S3 控制台中使用这些策略,您必须授予控制台所需的额外权限。有关使用策略(例如与 Amazon S3 控制台一起使用的策略)的信息,请参阅 使用用户策略控制对存储桶的访问。
主题
允许 IAM 用户访问某个存储桶
在本示例中,您想要授予您的 Amazon Web Services 账户中的一个 IAM 用户访问其中一个存储桶 example-s3-bucket1
的权限,以便该用户能够添加、更新和删除对象。
除了授予该用户 s3:PutObject
、s3:GetObject
和 s3:DeleteObject
权限外,此策略还授予 s3:ListAllMyBuckets
、s3:GetBucketLocation
和 s3:ListBucket
权限。这些是控制台所需的其他权限。此外,s3:PutObjectAcl
和 s3:GetObjectAcl
操作需要能够在控制台中复制、剪切和粘贴对象。有关向用户授予权限并使用控制台测试这些权限的示例演练,请参阅 使用用户策略控制对存储桶的访问。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": "s3:ListAllMyBuckets", "Resource":"*" }, { "Effect":"Allow", "Action":["s3:ListBucket","s3:GetBucketLocation"], "Resource":"arn:aws:s3:::
example-s3-bucket1
" }, { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl", "s3:GetObject", "s3:GetObjectAcl", "s3:DeleteObject" ], "Resource":"arn:aws:s3:::example-s3-bucket1
/*" } ] }
允许每个 IAM 用户访问存储桶中的文件夹
在本示例中,您需要两个 IAM 用户(Mary 和 Carlos)具有访问存储桶 example-s3-bucket1
的权限,以便他们可以添加、更新和删除对象。但是,您想要限制每个用户对存储桶中单个前缀(文件夹)的访问权限。您可以使用与其用户名匹配的名称创建文件夹。
example-s3-bucket1
Mary
/Carlos
/
要授予每个用户仅可以访问其文件夹的权限,您可以为每个用户编写策略,然后分别附加它。例如,您可以将以下策略附加到用户 Mary,以允许她对
文件夹拥有特定的 Amazon S3 权限。example-s3-bucket1
/Mary
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:GetObject", "s3:GetObjectVersion", "s3:DeleteObject", "s3:DeleteObjectVersion" ], "Resource":"arn:aws:s3:::
example-s3-bucket1
/Mary
/*" } ] }
然后,您可以将类似策略附加到用户 Carlos,同时在 Resource
值中指定文件夹
。Carlos
您可以编写一个使用策略变量的策略,然后将该策略附加到一个组,而不是将策略附加到单个用户。首先,您必须创建一个组,并将 Mary 和 Carlos 添加到该组中。以下示例策略允许在
文件夹中具有一组 Amazon S3 权限。评估策略后,策略变量 example-s3-bucket1
/${aws:username}${aws:username}
将替换为请求者的用户名。例如,如果 Mary 发送了一个请求以放置对象,只有当 Mary 将对象上传到
文件夹后,才允许该操作。example-s3-bucket1
/Mary
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:GetObject", "s3:GetObjectVersion", "s3:DeleteObject", "s3:DeleteObjectVersion" ], "Resource":"arn:aws:s3:::
example-s3-bucket1
/${aws:username}/*" } ] }
注意
当使用策略变量时,您必须在策略中明确指定版本 2012-10-17
。IAM 策略语言的默认版本 2008-10-17 不支持策略变量。
如果需要在 Amazon S3 控制台上测试之前的策略,控制台需要其他权限,如以下策略所示。有关控制台如何使用这些权限的信息,请参阅 使用用户策略控制对存储桶的访问。
{ "Version":"2012-10-17", "Statement": [ { "Sid": "AllowGroupToSeeBucketListInTheConsole", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": "arn:aws:s3:::*" }, { "Sid": "AllowRootLevelListingOfTheBucket", "Action": "s3:ListBucket", "Effect": "Allow", "Resource": "arn:aws:s3:::
example-s3-bucket1
", "Condition":{ "StringEquals":{ "s3:prefix":[""], "s3:delimiter":["/"] } } }, { "Sid": "AllowListBucketOfASpecificUserPrefix", "Action": "s3:ListBucket", "Effect": "Allow", "Resource": "arn:aws:s3:::example-s3-bucket1
", "Condition":{ "StringLike":{"s3:prefix":["${aws:username}/*"] } } }, { "Sid": "AllowUserSpecificActionsOnlyInTheSpecificUserPrefix", "Effect":"Allow", "Action":[ "s3:PutObject", "s3:GetObject", "s3:GetObjectVersion", "s3:DeleteObject", "s3:DeleteObjectVersion" ], "Resource":"arn:aws:s3:::example-s3-bucket1
/${aws:username}/*" } ] }
注意
在 2012-10-17 版本的策略中,策略变量以 $
开始。如果您的对象键(对象名称)包括 $
,则语法中的此更改可能会产生冲突。
为避免此冲突,请通过使用 ${$}
指定 $
字符。例如,要在策略中包括对象键 my$file
,请将其指定为 my${$}file
。
尽管 IAM 用户名称是友好、用户可读的标识符,但是它们无需全局唯一。例如,如果用户 Carlos 离开了企业,而另一个 Carlos 加入进来,则新 Carlos 可以访问原 Carlos 的信息。
您可以基于 IAM 用户 ID 创建文件夹,而不是使用用户名。每个 IAM 用户 ID 都是唯一的。在这种情况下,您必须修改之前的策略,以使用 ${aws:userid}
策略变量。有关用户标识符的更多信息,请参阅 IAM 用户指南中的 IAM 标识符。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:GetObject", "s3:GetObjectVersion", "s3:DeleteObject", "s3:DeleteObjectVersion" ], "Resource":"arn:aws:s3:::
example-s3-bucket1
/home/${aws:userid}/*" } ] }
允许非 IAM 用户(移动应用程序用户)访问存储桶中的文件夹
假设您要开发一个移动应用程序,一个将用户数据存储在 S3 存储桶中的游戏。对于每个应用用户,您都需要在您的存储桶中创建一个文件夹。您还需要限制每个用户对其自己的文件夹的访问权限。但是,在有人下载您的应用程序并开始玩此游戏之前,您不能创建文件夹,因为您没有用户 ID。
这种情况下,您可以要求用户使用公共身份提供商 (如 Login with Amazon、Facebook、或 Google) 登录到您的应用程序。在用户通过某个提供商登录到您的应用程序后,他们具有一个用户 ID,可用于在运行时创建用户特定的文件夹。
然后,您可以使用 Amazon Security Token Service 中的 Web 联合身份验证将来自身份提供商的信息与您的应用相集成,为每个用户获取临时安全凭证。然后,您可以创建 IAM 策略,以便允许该应用访问存储桶和执行操作,如创建用户特定文件夹和上传数据。有关 Web 身份联合验证的更多信息,请参阅《IAM 用户指南》中的关于 Web 身份联合验证。
允许组在 Amazon S3 中拥有共享的文件夹
将以下策略附加到组将授予该组中的每个人访问 Amazon S3 中的以下文件夹的权限:
。组成员仅允许访问策略中显示的特定 Amazon S3 权限,仅适用于指定文件夹中的对象。example-s3-bucket1
/share/marketing
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:GetObject", "s3:GetObjectVersion", "s3:DeleteObject", "s3:DeleteObjectVersion" ], "Resource":"arn:aws:s3:::
example-s3-bucket1
/share/marketing/*" } ] }
允许所有用户读取存储桶的某个部分中的对象
在该示例中,您创建一个名为
的组,其中包含 Amazon Web Services 账户拥有的所有 IAM 用户。然后,您将附加向该组提供对 AllUsers
GetObject
和 GetObjectVersion
的访问权限的策略,但仅适用于
文件夹中的对象。example-s3-bucket1
/readonly
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetObject", "s3:GetObjectVersion" ], "Resource":"arn:aws:s3:::
example-s3-bucket1
/readonly/*" } ] }
允许合作伙伴将文件放置到存储桶的特定部分中
在本示例中,您将创建代表合作伙伴公司的名为
的组。您将为需要访问权限的合作伙伴公司中的特定人员或应用程序创建 IAM 用户,然后将该用户放入组中。AnyCompany
然后,您附加策略,此策略向组提供对存储桶中以下文件夹的 PutObject
访问权限:
example-s3-bucket1
/uploads/anycompany
您需要阻止
组对存储桶执行任何其他操作,因此添加了一条语句,除了对 Amazon Web Services 账户中的任何 Amazon S3 资源执行 AnyCompany
PutObject
外,该语句显式拒绝执行任何其他 Amazon S3 操作的权限。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"s3:PutObject", "Resource":"arn:aws:s3:::
example-s3-bucket1
/uploads/anycompany
/*" }, { "Effect":"Deny", "Action":"s3:*", "NotResource":"arn:aws:s3:::example-s3-bucket1
/uploads/anycompany
/*" } ] }
限制对特定 Amazon Web Services 账户中 Amazon S3 存储桶的访问
如果您想确保您的 Amazon S3 主体只能访问受信任 Amazon Web Services 账户中的资源,您可以限制访问权限。例如,基于身份的 IAM 策略使用 Deny
影响来阻止对 Amazon S3 操作的访问,除非正在访问的 Amazon S3 资源在账户
中。为了防止 Amazon Web Services 账户中的 IAM 主体访问账户外的 Amazon S3 对象,请附加以下 IAM 策略:222222222222
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyS3AccessOutsideMyBoundary", "Effect": "Deny", "Action": [ "s3:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:ResourceAccount": [ "
222222222222
" ] } } } ] }
注意
此策略不会取代现有的 IAM 访问控制,因为它不授予任何访问权限。相反,无论通过其他 IAM 策略授予什么权限,此策略都可以作为其他 IAM 权限的额外防护机制。
请确保将策略中的账户 ID
替换为您自己的 Amazon Web Services 账户。要在仍保持此限制的同时将策略应用于多个账户,请将账户 ID 替换为 222222222222
aws:PrincipalAccount
条件键。该条件要求主体和资源必须在同一账户中。
限制企业单位内对 Amazon S3 存储桶的访问
如果在 Amazon Organizations 中设置了企业单位(OU),则可能需要将 Amazon S3 存储桶访问限制为企业的特定部分。在本示例中,我们将使用 aws:ResourceOrgPaths
键以限制 Amazon S3 存储桶对企业中 OU 的访问。在本例中,OU ID 为
。确保用自己的 OU ID 替换自己的策略中的此值。ou-acroot-exampleou
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowS3AccessOutsideMyBoundary", "Effect": "Allow", "Action": [ "s3:*" ], "Resource": "*", "Condition": { "ForAllValues:StringNotLike": { "aws:ResourceOrgPaths": [ "
o-acorg/r-acroot/ou-acroot-exampleou/
" ] } } } ] }
注意
该策略不授予任何访问权限。相反,此策略充当其他 IAM 权限的后盾,阻止主体访问 OU 定义边界之外的 Amazon S3 对象。
该策略拒绝对 Amazon S3 操作的访问,除非正在访问的 Amazon S3 对象位于您企业的
OU 中。IAM 策略条件要求 ou-acroot-exampleou
aws:ResourceOrgPaths
(多值条件键)包含列出的任何 OU 路径。该策略使用 ForAllValues:StringNotLike
运算符将 aws:ResourceOrgPaths
的值与列出的 OU 进行比较,而不进行区分大小写的匹配。
限制对企业内 Amazon S3 存储桶的访问
要限制对组织内 Amazon S3 对象的访问,请将 IAM 策略附加到组织的根,并将其应用于组织中的所有账户。如果要求您的 IAM 主体遵守此规则,请使用服务控制策略 (SCP)。如果您选择使用 SCP,请确保先全面测试 SCP,然后将策略附加到企业的根。
在以下示例策略中,将拒绝对 Amazon S3 操作的访问,除非正在访问的 Amazon S3 对象与访问该对象的 IAM 主体位于同一企业中:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyS3AccessOutsideMyBoundary", "Effect": "Deny", "Action": [ "s3:*" ], "Resource": "arn:aws:s3:::*/*", "Condition": { "StringNotEquals": { "aws:ResourceOrgID": "${aws:PrincipalOrgID}" } } } ] }
注意
该策略不授予任何访问权限。相反,此策略充当其他 IAM 权限的后盾,阻止主体访问企业外部的任何 Amazon S3 对象。此策略还适用于在策略生效后创建的 Amazon S3 资源。
本例中的 IAM 策略条件要求 aws:ResourceOrgID
和 aws:PrincipalOrgID
彼此相等。有了这一要求,提出请求的主体和正在访问的资源必须位于同一企业中。
为 Amazon Web Services 账户授予检索 PublicAccessBlock 配置的权限
以下基于身份的策略示例向用户授予 s3:GetAccountPublicAccessBlock
权限。对于这些权限,请将 Resource
值设置为 "*"
。有关资源 ARN 的更多信息,请参阅Amazon S3 的策略资源。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Action":[ "s3:GetAccountPublicAccessBlock" ], "Resource":[ "*" ] } ] }
将存储桶的创建限制在一个区域
假定 Amazon Web Services 账户管理员想要授予其用户(Dave)仅在南美洲(圣保罗)区域创建存储桶的权限。账户管理员可附加以下用户策略,授予附带条件的 s3:CreateBucket
权限,如下所示。Condition
块中的键值对指定 s3:LocationConstraint
键,并将 sa-east-1
区域作为值。
注意
在该示例中,存储桶拥有者为其用户之一授予权限,因此可以使用存储桶策略或用户策略。此示例显示了用户策略。
有关 Amazon S3 区域的列表,请参阅《Amazon Web Services 一般参考》中的区域和端点。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::*", "Condition": { "StringLike": { "s3:LocationConstraint": "sa-east-1" } } } ] }
添加显式拒绝
前面的策略限制用户只能在 sa-east-1
区域中创建存储桶。但是,别的策略可能授予此用户在其他区域中创建存储桶的权限。例如,如果用户属于某个组,该组可能附加了一个策略,以允许该组中的所有用户在另一个区域中创建存储桶。要确保此用户不会获得在其它任何区域创建存储桶的权限,可在上述策略中添加一个显式拒绝语句。
Deny
语句使用 StringNotLike
条件。也即,如果位置约束不是 sa-east-1
,则创建存储桶的请求将被拒绝。显式拒绝不允许用户在其它任何区域创建存储桶,无论该用户获得了哪种其它权限。以下策略包含显式拒绝语句。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::*", "Condition": { "StringLike": { "s3:LocationConstraint": "sa-east-1" } } }, { "Sid":"statement2", "Effect":"Deny", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::*", "Condition": { "StringNotLike": { "s3:LocationConstraint": "sa-east-1" } } } ] }
使用 Amazon CLI 测试策略
可使用以下 create-bucket
Amazon CLI 命令测试此策略。此示例使用 bucketconfig.txt
文件来指定位置约束。记下 Windows 文件路径。您需要更新相应的存储桶名称和路径。必须使用 --profile
参数提供用户凭证。有关设置和使用 Amazon CLI 的更多信息,请参阅 使用 Amazon CLI 进行 Amazon S3 开发。
aws s3api create-bucket --bucket
examplebucket
--profile AccountADave --create-bucket-configuration file://c:/Users/someUser/bucketconfig.txt
bucketconfig.txt
文件指定一些配置,如下所示。
{"LocationConstraint": "sa-east-1"}