python - 通过文本单词列表或 csv 批量检查我的 s3 存储桶权限
问题描述
所以我正在审核 s3 存储桶的工作。我可以通过 awscli 手动检查存储桶权限:
aws s3 ls s3://bucketname
或通过 Python 使用 boto3:
# list 1st 1000 objects (which I like if it is readable so I can
#assess risk quickly on larger buckets)
from boto3 import client
bucket_name = input("enter the bucket name")
connection = client('s3')
for key in connection.list_objects_v2(Bucket=bucket_name)['Contents']:
print(key['Key'])
我的问题是,我如何使用 Python 来读取我的存储桶列表(100+)并检查它们是否可以公开阅读。我应该提到,当我审核时,我们以一种检查权限的方式使用了一个虚拟 aws 帐户。
我在想类似的东西
bucketlist = open('buckets.txt', 'r')
现在我很乐意打印出该列表,但是针对每一行运行该函数我什么也没得到。如何使用 awscli 方法或 Python boto3 方法检查存储桶权限?
解决方案
您可以使用上下文管理器打开文本文件,将每一行作为列表加载,然后遍历所有存储桶名称。然后,定义一个自定义函数来检查权限 - 这将取决于情况,但我在下面提供了一些建议和 boto 文档链接。
您只需稍作修改即可使用上面的代码。(注意,这假设文件的每一行都有一个存储桶名称。)
from boto3 import client
def check_bucket_permissions(client, bucket):
"""Function to check bucket permissions.
What you do here depends on what you want to check.
Examples given below."""
pass
# get a list of bucket names (strings)
with open('buckets.txt', 'r') as f:
bucket_names = f.readlines()
# check each bucket
connection = client('s3')
for bucket_name in bucket_names:
check_bucket_permissions(client, bucket_name)
对于该check_bucket_permissions()
功能,您有几个选项,具体取决于您要查找的信息。检查谁可以访问存储桶的两种方法是,(1)检查策略,以及(2)检查访问权限/访问控制列表。
这篇 AWS 博客文章提供了有关 IAM 策略、存储桶策略和存储桶访问控制列表的一些背景信息,但简短的版本是:
- 存储桶策略是附加到存储桶本身的 IAM 策略文档,并为哪些类型的委托人(用户/组/角色)可以访问存储桶的资源以及允许他们采取哪些类型的操作(读取、写等)
- IAM 策略文档也可以附加到委托人(用户/组/角色),并且该策略文档可以设置可以访问哪些类型的资源(如存储桶)以及允许它们采取哪些类型的操作的规则
- 存储桶 ACL(访问控制列表)是一种较旧的指定存储桶权限的方法(AWS 建议使用上述 IAM 方法)。ACL 附加到存储桶并定义可以访问存储桶的主体(用户/组/角色)以及他们拥有的访问权限类型。
如果您使用的是经典 IAM 策略方法,则可以使用以下get_bucket_policy()
方法检查哪些 IAM 策略文档适用于存储桶:
def check_bucket_permissions(client, bucket):
policy_doc = client.get_bucket_policy(Bucket=bucket)
# parse policy_doc, print or record the result
return
如果没有存储桶策略,这将出错并显示botocore.exceptions.ClientError: An error occurred (NoSuchBucketPolicy) when calling the GetBucketPolicy operation: The bucket policy does not exist
.
如果要检查存储桶 ACL,可以使用get_bucket_acl()
方法而不是get_bucket_policy()
方法:
def check_bucket_permissions(client, bucket):
acl = client.get_bucket_acl(Bucket=bucket)
# parse ACL, print or record the result
return
请参阅文档以获取来自这些方法的示例 JSON 响应,以了解您希望如何解析返回的结果。
推荐阅读
- c# - EF Core 在调用中获取字符串的一部分
- c++ - 我可以实现什么 fmt lib
- python - 用manim写不同的语言
- reactjs - React - 类内的useContext
- java - 使用 JFrame 的最简单程序不起作用
- python - 如何通过 python pandas&csv 跳过大量 CSV 文件的某些行?
- c++ - 如何使用 libavcodec 设置输出帧时间?
- java - 为什么当模拟返回 CompletableFuture 对象的方法调用时 JUnit 没有完成
- sql - 如何在 SQL Server 中查找当月(提供日期)的所有第一周天(截至第一个星期日的天数)?
- python - 用 dask 读取列数据