示例 4:存储桶拥有者针对自己未拥有的对象授予跨账户权限 - Amazon Simple Storage Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

示例 4:存储桶拥有者针对自己未拥有的对象授予跨账户权限

在此示例场景中,您拥有一个存储桶,并且启用了其他 Amazon Web Services 账户以上传对象。如果您已经为存储桶的 S3 对象所有权应用了强制存储桶拥有者设置,那么您将拥有存储桶中的所有对象,包括另一个 Amazon Web Services 账户 所编写的对象。此方法将解决存储桶拥有者未拥有对象的问题。然后,您可以将权限委派给自己账户中的用户或其他 Amazon Web Services 账户。假设尚未启用 S3 对象所有权的强制存储桶拥有者设置。也就是说,您的存储桶中可以有其他 Amazon Web Services 账户所拥有的对象。

现在,假设作为存储桶拥有者,您需要向另一个账户中的用户授予对象(无论拥有者是谁)的跨账户权限。例如,该用户可以是需要访问对象元数据的账单应用程序。存在两个核心问题:

  • 存储桶拥有者对其他 Amazon Web Services 账户创建的对象不拥有权限。因此,存储桶拥有者若要针对自己未拥有的对象授予权限,必须先由对象拥有者向存储桶拥有者授予权限。对象拥有者是创建对象版本的 Amazon Web Services 账户。然后,存储桶拥有者才能委托这些权限。

  • 存储桶拥有者账户可以向其账户中的用户委派权限(请参阅示例 3:存储桶拥有者授予不属于自己的对象的权限)。但是,存储桶拥有者账户无法将权限委派给其它 Amazon Web Services 账户,因为不支持跨账户委派。

在这种情况下,存储桶拥有者可以创建具有对象访问权限的 Amazon Identity and Access Management(IAM)角色,然后存储桶拥有者可以向另一个 Amazon Web Services 账户授予临时担任该角色的权限,使它可以访问存储桶中的对象。

注意

S3 对象所有权是 Amazon S3 存储桶级别的设置,您可以使用该设置来控制上传到存储桶的对象的所有权和禁用或启用 ACL。默认情况下,对象所有权设为强制存储桶拥有者设置,并且所有 ACL 均处于禁用状态。禁用 ACL 后,存储桶拥有者拥有存储桶中的所有对象,并使用访问管理策略来专门管理对这些对象的访问权限。

Amazon S3 中的大多数现代使用案例不再需要使用 ACL。我们建议您将 ACL 保持为禁用状态,除非有需要单独控制每个对象的访问权限的特殊情况。禁用 ACL 后,您可以使用策略来控制对存储桶中所有对象的访问权限,无论是谁将对象上传到您的存储桶。有关更多信息,请参阅 为您的存储桶控制对象所有权和禁用 ACL。

了解跨账户权限和使用 IAM 角色

IAM 角色可实现多种资源委托访问权限方案,跨账户访问是重要方案之一。在此示例中,存储桶拥有者(账户 A)使用一个 IAM 角色临时将跨账户对象访问权限委派给另一个 Amazon Web Services 账户(账户 C)中的用户。您创建的每个 IAM 角色都附加了以下两个策略:

  • 一个信任策略,用于标识可以担任角色的其他 Amazon Web Services 账户。

  • 一个访问策略,用于定义在某个用户担任角色时允许的权限,例如 s3:GetObject。有关可以在策略中指定的权限的列表,请参阅 Amazon S3 的策略操作

然后,信任策略中标识的 Amazon Web Services 账户向其用户授予担任角色的权限。该用户即可执行以下操作以访问对象:

  • 担任角色,然后在响应中获取临时安全凭证。

  • 使用临时安全凭证访问存储桶中的对象。

有关 IAM 角色的更多信息,请参阅《IAM 用户指南》中的 IAM 角色

下面概括介绍演练步骤:

使用 IAM 角色的跨账户权限。
  1. 账户 A 管理员用户附加一个存储桶策略,向账户 B 授予上传对象的条件权限。

  2. 账户 A 管理员创建一个 IAM 角色,与账户 C 建立信任,以便该账户中的用户可以访问账户 A。附加到该角色的访问策略限制账户 C 中的用户访问账户 A 时可以执行的操作。

  3. 账户 B 管理员将一个对象上传到账户 A 拥有的存储桶,从而向存储桶拥有者授予完全控制权限。

  4. 账户 C 管理员创建一个用户,附加一个用户策略允许该用户担任该角色。

  5. 账户 C 中的用户首先担任角色,这会向该用户返回临时安全凭证。该用户随后使用这些临时凭证访问存储桶中的对象。

对于此示例,您需要三个账户。下表显示我们如何引用这些账户和这些账户中的管理员用户。根据 IAM 准则(请参阅关于使用管理员用户来创建资源和授予权限),我们在本演练中并不使用 Amazon Web Services 账户根用户 凭证。而是在每个账户中创建一个管理员用户,并在创建资源和向他们授予权限时使用这些凭证。

Amazon Web Services 账户 ID 账户名称 账户中的管理员用户

1111-1111-1111

账户 A

AccountAadmin

2222-2222-2222

账户 B

AccountBadmin

3333-3333-3333

账户 C

AccountCadmin

步骤 0:准备演练

注意

在演练这些步骤时,您可能需要打开文本编辑器,记下某些信息。具体而言,您需要账户 ID、规范用户 ID、供每个账户连接到控制台的 IAM 用户登录 URL,以及 IAM 用户和角色的 Amazon 资源名称(ARN)。

  1. 确保您有三个 Amazon Web Services 账户并且每个账户都有一个管理员用户,如前面部分的表中所示。

    1. 根据需要注册 Amazon Web Services 账户。我们将这些账户称为账户 A、账户 B 和账户 C。

    2. 使用账户 A 凭证登录 IAM 控制台,然后执行以下操作以创建管理员用户:

    3. 重复上述步骤,在账户 B 和账户 C 中创建管理员用户。

  2. 对于账户 C,请记下规范用户 ID。

    在账户 A 中创建 IAM 角色时,信任策略通过指定账户 ID 向账户 C 授予担任该角色的权限。您可以查找账户信息,如下所示:

    1. 使用 Amazon Web Services 账户 ID 或账户别名、您的 IAM 用户名和密码登录 Amazon S3 控制台

    2. 请选择 Amazon S3 存储桶的名称以查看有关该存储桶的详细信息。

    3. 请选择 Permissions (权限) 选项卡,然后选择 Access Control List (访问控制列表)

    4. Access for your Amazon Web Services 账户 (您的 Amazon 账户的访问权限) 部分,Account (账户) 列中是长标识符,例如 c1daexampleaaf850ea79cf0430f33d72579fd1611c97f7ded193374c0b163b6。这是您的规范用户 ID。

  3. 创建存储桶策略时,您需要以下信息。记下以下值:

    • 账户 A 的规范用户 ID – 账户 A 管理员向账户 B 管理员授予条件上传对象权限时,条件指定必须获取对象完全控制权的账户 A 用户的规范用户 ID。

      注意

      规范用户 ID 是 Amazon S3 独有的概念。它是 64 字符模糊版本的账户 ID。

    • 账户 B 管理员的用户 ARN:您可以在 IAM 控制台中找到用户 ARN。您必须选择该用户并在摘要选项卡中找到该用户的 ARN。

      在存储桶策略中,向 AccountBadmin 授予上传对象的权限,使用 ARN 指定用户。下面是一个示例 ARN 值:

      arn:aws:iam::AccountB-ID:user/AccountBadmin
  4. 设置 Amazon Command Line Interface (CLI) 或 Amazon Tools for Windows PowerShell。请务必保存管理员用户凭证,如下所示:

    • 如果使用 Amazon CLI,请在配置文件中创建配置文件:AccountAadminAccountBadmin

    • 如果使用 Amazon Tools for Windows PowerShell,请确保将用于会话的凭证存储为 AccountAadminAccountBadmin

    有关说明,请参阅 设置用于演练的工具

步骤 1:执行账户 A 任务

在此示例中,账户 A 是存储桶拥有者。因此,账户 A 中的用户 AccountAadmin 将执行以下操作:

  • 创建存储桶。

  • 附加存储桶策略,向账户 B 管理员授予上传对象的权限。

  • 创建 IAM 角色,授予账户 C 代入该角色的权限,使其能够访问存储桶中的对象。

步骤 1.1:登录到 Amazon Web Services Management Console

首先使用账户 A 的 IAM 用户登录 URL,以 AccountAadmin 用户身份登录 Amazon Web Services Management Console。此用户将创建一个存储桶并向其附加一个策略。

步骤 1.2:创建存储桶并附加存储桶策略

在 Amazon S3 控制台中,执行以下操作:

  1. 创建存储桶。此练习假设存储桶名称是 amzn-s3-demo-bucket1

    有关说明,请参阅 创建桶

  2. 附加以下存储桶策略。该策略向账户 B 管理员授予上传对象的条件权限。

    请通过为 amzn-s3-demo-bucket1AccountB-IDCanonicalUserId-of-AWSaccountA-BucketOwner 提供自己的值来更新策略。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "111", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountB-ID:user/AccountBadmin" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*" }, { "Sid": "112", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::AccountB-ID:user/AccountBadmin" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*", "Condition": { "StringNotEquals": { "s3:x-amz-grant-full-control": "id=CanonicalUserId-of-AWSaccountA-BucketOwner" } } } ] }

步骤 1.3:在账户 A 中创建一个 IAM 角色以允许账户 C 进行跨账户访问

IAM 控制台中创建一个 IAM 角色(examplerole),授予账户 C 担任该角色的权限。请务必仍以账户 A 管理员身份登录,因为该角色必须在账户 A 中创建。

  1. 创建角色之前,准备好定义角色所需权限的托管策略。您可在以后的步骤中将此策略附加到角色。

    1. 在左侧导航窗格中,请选择策略,然后选择创建策略

    2. Create Your Own Policy 旁,选择 Select

    3. Policy Name (策略名称) 字段中输入 access-accountA-bucket

    4. 复制下面的访问策略,然后将其粘贴到 Policy Document (策略文档) 字段中。该访问策略授予该角色 s3:GetObject 权限,这样,账户 C 用户在担任该角色时只能执行 s3:GetObject 操作。

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*" } ] }
    5. 选择创建策略

      新策略会显示在托管策略列表中。

  2. 在左侧的导航窗格中,选择角色,然后选择创建角色

  3. 选择角色类型下,选择用于跨账户访问的角色,然后单击提供在您的 Amazon Web Services 账户之间进行相互访问的权限旁边的选择按钮。

  4. 输入账户 C 的账户 ID。

    对于此演练,您不必要求用户经过多重身份验证(MFA)来承担角色,因此请不要选择该选项。

  5. 选择下一步,设置与该角色关联的权限。

  6. 选中您创建的 access-accountA-bucket 策略旁边的复选框,然后选择下一步

    “Review (审核)”页面随即出现,使您可以在创建角色之前确认其设置。此页面上有一项极为重要,需要注意,即您可发送给需要使用此角色的用户的链接。使用该链接的用户会直接转到已填写“账户 ID”和“角色名称 ”字段的切换角色页面。稍后您可以在任何跨账户角色的角色摘要页面上看到此链接。

  7. 输入 examplerole 作为角色名称,然后单击下一步

  8. 检查角色后,选择创建角色

    examplerole 角色显示在角色列表中。

  9. 选择角色名称 examplerole

  10. 选择 Trust Relationships (信任关系) 选项卡。

  11. 选择显示策略文档并验证所示信任策略是否与以下策略相符。

    以下信任策略通过允许账户 C 执行 sts:AssumeRole 操作,与它建立信任。有关更多信息,请参阅《Amazon Security Token Service API 参考》中的 AssumeRole

    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountC-ID:root" }, "Action": "sts:AssumeRole" } ] }
  12. 记下您创建的 examplerole 角色的 Amazon 资源名称(ARN)。

    稍后在以下步骤中,您附加一个用户策略以允许 IAM 用户担任此角色,并通过 ARN 值标识角色。

步骤 2:执行账户 B 任务

账户 A 拥有的示例存储桶需要由其它账户拥有的对象。在此步骤中,账户 B 管理员使用命令行工具上传对象。

  • 使用 put-object Amazon CLI 命令,将对象上传到 amzn-s3-demo-bucket1

    aws s3api put-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --body HappyFace.jpg --grant-full-control id="canonicalUserId-ofTheBucketOwner" --profile AccountBadmin

    请注意以下几点:

    • --Profile 参数指定 AccountBadmin 配置文件,因此该对象由账户 B 拥有。

    • 参数 grant-full-control 根据存储桶策略的要求向存储桶拥有者授予对象的完全控制权限。

    • --body 参数标识要上传的源文件。例如,如果该文件在 Windows 计算机上的 C: 驱动器中,您应指定 c:\HappyFace.jpg

步骤 3:执行账户 C 任务

在前面的步骤中,账户 A 已创建一个角色 examplerole,与账户 C 建立了信任。该角色使账户 C 中的用户可以访问账户 A。在此步骤中,账户 C 管理员创建一个用户(Dave),向他委派从账户 A 收到的 sts:AssumeRole 权限。此方法让 Dave 可以担任 examplerole 并临时获取对账户 A 的访问权限。账户 A 附加到该角色的访问策略将限制 Dave 在访问账户 A 时可以执行的操作,具体而言,就是获取 amzn-s3-demo-bucket1 中的对象。

步骤 3.1:在账户 C 中创建一个用户并向其委派担任 examplerole 的权限

  1. 首先使用账户 C 的 IAM 用户登录 URL,以 AccountCadmin 用户身份登录 Amazon Web Services Management Console。

  2. IAM 控制台中,创建用户 Dave。

    有关分步说明,请参阅《IAM 用户指南》中的创建 IAM 用户(Amazon Web Services Management Console)

  3. 记下 Dave 的凭证。Dave 需要这些凭证才能担任 examplerole 角色。

  4. 为 IAM 用户 Dave 创建一个内联策略,向 Dave 委派担任账户 A 中的 examplerole 角色的 sts:AssumeRole 权限。

    1. 在左侧导航窗格中,请选择用户

    2. 请选择用户名 Dave

    3. 在用户详细信息页面上,选择 Permissions (权限) 选项卡,然后展开 Inline Policies (内联策略) 部分。

    4. 请选择 click here (单击此处) (或 Create User Policy (创建用户策略))。

    5. 选择 Custom Policy,然后选择 Select

    6. Policy Name (策略名称) 字段中为策略输入一个名称。

    7. 将以下策略复制到 Policy Document (策略文档) 字段中。

      您必须提供 AccountA-ID 来更新策略。

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["sts:AssumeRole"], "Resource": "arn:aws:iam::AccountA-ID:role/examplerole" } ] }
    8. 选择应用策略

  5. 通过添加另一个配置文件 AccountCDave 将 Dave 的凭证保存到 Amazon CLI 的配置文件。

    [profile AccountCDave] aws_access_key_id = UserDaveAccessKeyID aws_secret_access_key = UserDaveSecretAccessKey region = us-west-2

步骤 3.2:担任角色(examplerole)并访问对象

现在 Dave 可以访问账户 A 拥有的存储桶中的对象,如下所示:

  • Dave 首先使用自己的凭证担任 examplerole。这会返回临时凭证。

  • Dave 随后使用临时凭证访问账户 A 的存储桶中的对象。

  1. 在命令提示符处,使用 AccountCDave 配置文件运行下面的 Amazon CLI assume-role 命令。

    您必须通过提供 AccountA-ID(其中定义了 examplerole)在命令中更新 ARN 值。

    aws sts assume-role --role-arn arn:aws:iam::AccountA-ID:role/examplerole --profile AccountCDave --role-session-name test

    在响应中,Amazon Security Token Service(Amazon STS)返回临时安全凭证(访问密钥 ID、秘密访问密钥和会话令牌)。

  2. 将临时安全凭证保存在 Amazon CLI 配置文件中的 TempCred 配置文件下。

    [profile TempCred] aws_access_key_id = temp-access-key-ID aws_secret_access_key = temp-secret-access-key aws_session_token = session-token region = us-west-2
  3. 在命令提示符处,使用临时凭证运行以下 Amazon CLI 命令以访问对象。例如,该命令指定 head-object API 以检索 HappyFace.jpg 对象的对象元数据。

    aws s3api get-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg SaveFileAs.jpg --profile TempCred

    因为附加到 examplerole 的访问策略允许执行这些操作,所以 Amazon S3 会处理请求。您可以对存储桶中的任何其他对象尝试任何其他操作。

    如果您尝试任何其它操作(例如 get-object-acl),则系统会拒绝权限,因为不允许角色执行该操作。

    aws s3api get-object-acl --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --profile TempCred

    我们使用用户 Dave 担任角色,并使用临时凭证访问对象。它还可以是账户 C 中访问 amzn-s3-demo-bucket1 中的对象的应用程序。应用程序可以获取临时安全凭证,账户 C 可以向应用程序委托担任 examplerole 的权限。

步骤 4:清除

  1. 完成测试之后,您可以执行以下操作来进行清理:

    1. 使用账户 A 凭证登录 Amazon Web Services Management Console,并执行以下操作:

      • 在 Amazon S3 控制台中,移除附加到 amzn-s3-demo-bucket1 的存储桶策略。在存储桶 Properties(属性)中,删除 Permissions(权限)部分中的策略。

      • 如果该存储桶是为此练习而创建的,请在 Amazon S3 控制台中删除对象,然后删除存储桶。

      • IAM 控制台中,删除您在账户 A 中创建的 examplerole。有关分步说明,请参阅《IAM 用户指南》中的删除 IAM 用户

      • IAM 控制台中,移除 AccountAadmin 用户。

  2. 使用账户 B 凭证登录 IAM 控制台。删除用户 AccountBadmin

  3. 使用账户 C 凭证登录 IAM 控制台。删除 AccountCadmin 和用户 Dave。

相关资源

有关本演练的更多信息,请参阅《IAM 用户指南》中的以下资源: