访问控制策略 - 适用于 Java 的 AWS 开发工具包
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

访问控制策略

利用 AWS 访问控制策略,您可以指定对 AWS 资源的精细访问控制。访问控制策略包含一组语句,其形式如下:

账户 A 有权对应用了条件 D资源 C 执行操作 B

其中:

  • A委托人 – 发出访问或修改某个 AWS 资源的请求的 AWS 账户。

  • B操作 – 访问或修改 AWS 资源的方式,例如,将消息发送到 Amazon SQS 队列或在 Amazon S3 存储桶中存储对象。

  • C资源 – 委托人希望访问的 AWS 实体,例如 Amazon SQS 队列或存储在 Amazon S3 中的对象。

  • D一组条件 – 指定何时允许或拒绝委托人访问资源的可选约束。有许多富有表现力的条件,还有一些特定于每项服务的条件。例如,您可以使用日期条件以仅允许在特定时间之后或之前访问资源。

Amazon S3 示例

以下示例说明一个策略,该策略向任何人授予读取某个存储桶中所有对象的权限,但仅允许两个特定的 AWS 账户(除了存储桶所有者的账户之外)将对象上传到该存储桶。

Statement allowPublicReadStatement = new Statement(Effect.Allow) .withPrincipals(Principal.AllUsers) .withActions(S3Actions.GetObject) .withResources(new S3ObjectResource(myBucketName, "*")); Statement allowRestrictedWriteStatement = new Statement(Effect.Allow) .withPrincipals(new Principal("123456789"), new Principal("876543210")) .withActions(S3Actions.PutObject) .withResources(new S3ObjectResource(myBucketName, "*")); Policy policy = new Policy() .withStatements(allowPublicReadStatement, allowRestrictedWriteStatement); AmazonS3 s3 = AmazonS3ClientBuilder.defaultClient(); s3.setBucketPolicy(myBucketName, policy.toJson());

Amazon SQS 示例

策略的一种常见用途是,授权 Amazon SQS 队列接收来自 Amazon SNS 主题的消息。

Policy policy = new Policy().withStatements( new Statement(Effect.Allow) .withPrincipals(Principal.AllUsers) .withActions(SQSActions.SendMessage) .withConditions(ConditionFactory.newSourceArnCondition(myTopicArn))); Map queueAttributes = new HashMap(); queueAttributes.put(QueueAttributeName.Policy.toString(), policy.toJson()); AmazonSQS sqs = AmazonSQSClientBuilder.defaultClient(); sqs.setQueueAttributes(new SetQueueAttributesRequest(myQueueUrl, queueAttributes));

Amazon SNS 示例

一些服务提供可用于策略的其他条件。Amazon SNS 提供用于根据主题订阅请求的协议(例如,电子邮件、HTTP、HTTPS、Amazon SQS)和终端节点(例如,电子邮件地址、URL、Amazon SQS ARN)允许或拒绝订阅 SNS 主题的条件。

Condition endpointCondition = SNSConditionFactory.newEndpointCondition("*@mycompany.com"); Policy policy = new Policy().withStatements( new Statement(Effect.Allow) .withPrincipals(Principal.AllUsers) .withActions(SNSActions.Subscribe) .withConditions(endpointCondition)); AmazonSNS sns = AmazonSNSClientBuilder.defaultClient(); sns.setTopicAttributes( new SetTopicAttributesRequest(myTopicArn, "Policy", policy.toJson()));