Amazon S3 如何对请求授权 - Amazon Simple Storage Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

欢迎使用新的 Amazon S3 用户指南! Amazon S3 用户指南结合了以下三个已停用的指南中的信息和说明:Amazon S3 开发人员指南Amazon S3 控制台用户指南Amazon S3 入门指南

Amazon S3 如何对请求授权

当 Amazon S3 收到请求 (例如,存储桶或对象操作) 时,它首先验证请求者是否拥有必要的权限。Amazon S3 对所有相关访问策略、用户策略和基于资源的策略 (存储桶策略、存储桶 ACL、对象 ACL) 进行评估,以决定是否对该请求进行授权。

为了确定请求者是否拥有执行特定操作的权限,Amazon S3 会在收到请求时按顺序执行以下操作:

  1. 在运行时将所有相关访问策略 (用户策略、存储桶策略、ACL) 转换为一组策略以进行评估。

  2. 通过以下步骤评估生成的策略集。在每个步骤中,Amazon S3 都会基于特定上下文机构来评估上下文中的策略子集。

    1. 用户上下文 – 在用户上下文中,用户所属的父账户是上下文机构。

      Amazon S3 对父账户拥有的策略子集进行评估。该子集包括父账户附加到该用户的用户策略。如果父账户也拥有请求中的资源 (存储桶、对象),则 Amazon S3 还会同时评估相应资源策略 (存储桶策略、存储桶 ACL 和对象 ACL)。

      用户必须从父账户获得执行该操作的权限。

      只有在 AWS 账户中的用户发出请求的情况下,此步骤才适用。如果请求是使用 AWS 账户的根凭证发出的,则 Amazon S3 跳过此步骤。

    2. 存储桶上下文 – 在存储桶上下文中,Amazon S3 评估拥有该存储桶的 AWS 账户所拥有的策略。

      如果请求是针对存储桶操作发出的,则请求者必须拥有来自存储桶拥有者的权限。如果请求是针对对象发出的,则 Amazon S3 会评估由存储桶拥有者拥有的所有策略,以检查存储桶拥有者是否未显式拒绝对该对象的访问。如果设置了显式拒绝,则 Amazon S3 不对请求授权。

    3. 对象上下文 – 如果请求是针对对象发出的,则 Amazon S3 对由对象拥有者拥有的策略子集进行评估。

以下是说明 Amazon S3 如何授权请求的一些示例场景。

例 请求者是 IAM 委托人

如果请求者是 IAM 委托人,则 Amazon S3 必须确定委托人所属的父 AWS 账户是否为委托人授予了所需的权限以执行该操作。此外,如果请求是要执行存储桶操作 (例如,请求列出存储桶内容),则 Amazon S3 必须验证存储桶拥有者是否已为请求者授予执行该操作的权限。要对资源执行特定的操作,IAM 委托人需要来自所属的父 AWS 账户以及拥有该资源的 AWS 账户的权限。

例 请求者是 IAM 委托人 - 请求针对存储桶拥有者未拥有的对象

如果请求是要针对存储桶拥有者未拥有的对象执行某一操作,则除了确保请求者拥有来自对象拥有者的权限外,Amazon S3 还必须检查存储桶策略以确保存储桶拥有者未对该对象设置显式拒绝。存储桶拥有者 (支付账单者) 可以显式拒绝对存储桶中的对象的访问,而不论谁拥有该对象。存储桶拥有者还可以删除存储桶中的任何对象。

有关 Amazon S3 如何评估访问策略以授权或拒绝存储桶操作和对象操作请求的更多信息,请参阅以下主题: