amazon-web-services - AWS 为 S3 文件夹级别访问生成动态凭证?
问题描述
我是 AWS 的新手,但仍在弄清楚如何做事。
我的 Web 应用程序的一部分使用 AWS S3 进行文件存储,但我希望每个用户只能访问存储桶中的特定文件夹(对于 CRUD)。后端服务器将跟踪用户将能够访问哪些文件夹。
我知道可以定义允许访问特定文件夹的策略(通过匹配对象的前缀),但我可以动态生成这些策略并获取附加这些策略的凭据(可能使用 Cognito?)。这样可以将这些凭据传递到客户端以启用对 S3 文件夹的访问。
我想知道是否有可能做到这一点以及实现这一目标需要哪些服务。
解决方案
你应该改变你的观点,每次你想与你的一个用户共享一个文件时,你应该检查你的数据库关于他们的权限(他们有权访问的文件夹),如果你这边的逻辑事情是正确的,生成一个预签名的 URL 用于访问到那个对象。
预签名 URL 的工作原理。
当您生成用于访问对象的预签名 URL 时,您也可以设置时间限制,这意味着在该时间之后,该 URL 将不起作用并过期。
有关预签名 URL 的更多信息,请阅读 Amazon Web services 网站上的以下文档:
使用适用于 Java 的 AWS 开发工具包生成预签名对象 URL
使用适用于 .NET 的 AWS 开发工具包生成预签名对象 URL
此外,如果您想创建用户并分配正确的策略以访问他们的文件夹,您可以按照以下说明操作:
您可以使用 IAM API 为每个用户创建一个用户,并为每个用户附加正确的策略。例如,要创建新用户,您应该使用以下 API
/* The following create-user command creates an IAM user named Bob in the current account. */
var params = {
UserName: "Bob"
};
iam.createUser(params, function(err, data) {
if (err) console.log(err, err.stack); // an error occurred
else console.log(data); // successful response
/*
data = {
User: {
Arn: "arn:aws:iam::123456789012:user/Bob",
CreateDate: <Date Representation>,
Path: "/",
UserId: "AKIAIOSFODNN7EXAMPLE",
UserName: "Bob"
}
}
*/
});
有关创建用户 API 的更多信息,请阅读以下内容
https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html
创建用户后,您应该使用 CreatePolicy API 为每个用户创建一个策略。
var params = {
PolicyDocument: 'STRING_VALUE', /* required */
PolicyName: 'STRING_VALUE', /* required */
Description: 'STRING_VALUE',
Path: 'STRING_VALUE'
};
iam.createPolicy(params, function(err, data) {
if (err) console.log(err, err.stack); // an error occurred
else console.log(data); // successful response
});
有关创建策略的更多信息,请阅读以下文档:
https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html
最后,您应该通过 AttachUserPolicy API 将之前创建的策略分配给每个用户。
/* The following command attaches the AWS managed policy named AdministratorAccess to the IAM user named Alice. */
var params = {
PolicyArn: "arn:aws:iam::aws:policy/AdministratorAccess",
UserName: "Alice"
};
iam.attachUserPolicy(params, function(err, data) {
if (err) console.log(err, err.stack); // an error occurred
else console.log(data); // successful response
});
有关 AttachUserPolicy API 的更多信息,请阅读以下文档:
https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html
最后一部分是关于您应该创建并分配给他们每个人的策略;我们使用以下策略列出每个文件夹中的对象:
{
"Sid": "AllowListingOfUserFolder",
"Action": ["s3:ListBucket"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::my-company"],
"Condition":{"StringLike":{"s3:prefix":["home/David/*"]}}
}
以及针对每个文件夹中的操作的以下策略:
{
"Sid": "AllowAllS3ActionsInUserFolder",
"Effect": "Allow",
"Action": ["s3:*"],
"Resource": ["arn:aws:s3:::my-company/home/David/*"]
}
有关该政策的更多详细信息,请阅读 Jim Scharf的以下文章:
推荐阅读
- xml - 使用 xmllint 根据另一个标签限定符的值提取标签内容
- python - 按列值对查询集进行分组
- r - 使用 dplyr 基于特定因素和日期以及值摘要的计算
- rstudio - 使用最新更新编织 Word 文档时,带有 \newline 的换行符不起作用?
- vb.net - Visual Basic:根据第二个条件更改变量的值
- kotlin - 如何使用函数类型的 typealias?
- reactjs - 使用 React Hooks 使用 Portal 为模态组件设置动画时出现问题
- python - 如何将所有 txt 文件从 dir 转换为 csv(创建和写入文件)并使用 Python 保存它们?
- python - 如何在python中获取月份列表的第一天和最后一天?
- java - Java加密字符串,其中加密字符串和原始字符串长度相同