python - 通过文本单词列表或 csv 批量检查我的 s3 存储桶权限

您可以使用上下文管理器打开文本文件，将每一行作为列表加载，然后遍历所有存储桶名称。然后，定义一个自定义函数来检查权限 - 这将取决于情况，但我在下面提供了一些建议和 boto 文档链接。

您只需稍作修改即可使用上面的代码。（注意，这假设文件的每一行都有一个存储桶名称。）

from boto3 import client

def check_bucket_permissions(client, bucket):
    """Function to check bucket permissions.
    What you do here depends on what you want to check.
    Examples given below."""
    pass

# get a list of bucket names (strings)
with open('buckets.txt', 'r') as f:
    bucket_names = f.readlines()

# check each bucket
connection = client('s3')
for bucket_name in bucket_names:
    check_bucket_permissions(client, bucket_name)

对于该check_bucket_permissions()功能，您有几个选项，具体取决于您要查找的信息。检查谁可以访问存储桶的两种方法是，（1）检查策略，以及（2）检查访问权限/访问控制列表。

这篇 AWS 博客文章提供了有关 IAM 策略、存储桶策略和存储桶访问控制列表的一些背景信息，但简短的版本是：

• 存储桶策略是附加到存储桶本身的 IAM 策略文档，并为哪些类型的委托人（用户/组/角色）可以访问存储桶的资源以及允许他们采取哪些类型的操作（读取、写等）
• IAM 策略文档也可以附加到委托人（用户/组/角色），并且该策略文档可以设置可以访问哪些类型的资源（如存储桶）以及允许它们采取哪些类型的操作的规则
• 存储桶 ACL（访问控制列表）是一种较旧的指定存储桶权限的方法（AWS 建议使用上述 IAM 方法）。ACL 附加到存储桶并定义可以访问存储桶的主体（用户/组/角色）以及他们拥有的访问权限类型。

如果您使用的是经典 IAM 策略方法，则可以使用以下get_bucket_policy()方法检查哪些 IAM 策略文档适用于存储桶：

def check_bucket_permissions(client, bucket):
    policy_doc = client.get_bucket_policy(Bucket=bucket)
    # parse policy_doc, print or record the result
    return

如果没有存储桶策略，这将出错并显示botocore.exceptions.ClientError: An error occurred (NoSuchBucketPolicy) when calling the GetBucketPolicy operation: The bucket policy does not exist.

如果要检查存储桶 ACL，可以使用get_bucket_acl()方法而不是get_bucket_policy()方法：

def check_bucket_permissions(client, bucket):
    acl = client.get_bucket_acl(Bucket=bucket)
    # parse ACL, print or record the result
    return

请参阅文档以获取来自这些方法的示例 JSON 响应，以了解您希望如何解析返回的结果。