在AWS中创建S3存储桶后,我想了解如何提供对S3存储桶的读写访问权限?
我认为IAM用户权限和S3存储桶权限是不同的。我的意思是,一个在AWS上没有权限的IAM用户可以被授予对S3存储桶的访问权限,只需将其添加到S3存储桶中即可进行相应的读取或读取+写入。并且S3权限与IAM权限无关>
以上理解正确吗?如果以上错误,请更正并详细说明?
S3权限与IAM权限无关
事实并非如此。存储桶及其对象的有效权限是基于IAM身份的权限(即附加到IAM用户、角色、组的权限(加上存储桶策略和其他权限(SCP、IAM边界(的union,为了简单起见,我不提这些权限。
默认情况下,bucket和对象是私有的。您可以使用IAM策略、bucket策略或同时使用这两种策略Allow访问它们。有效权限将是所有这些单独权限的并集。这意味着您可以使用bucket策略向同一IAM用户授予对object1的访问权限,并使用IAM策略向object2的访问权限。所述用户将能够访问这两个对象。
当存在Deny时,此行为会发生变化,因为拒绝总是获胜。因此,IAM用户可以在给定bucket的IAM策略中具有Allow,但bucket可以具有该用户的Deny。结果将始终为Deny。
随后,所有这些都意味着bucket策略和IAM权限应该一起考虑,并且相互连接。因此,您不能说";S3权限与IAM权限无关";。
默认情况下,IAM用户没有权限。如果他们希望通过经过身份验证的API调用执行任何操作,则必须授予他们这样做的权限。
即使Amazon S3存储桶策略授予IAM用户访问权限,他们也无法访问Amazon S3中的内容,除非他们的IAM权限允许他们进行相关的API调用(例如ListBuckets或GetObject(。
请注意,我指的是通过验证的API调用,而不是通过web浏览器URL的匿名HTTP请求。
桶策略可以授予";公共访问";通过引用"Principal": "*"(这意味着即使未经身份验证的用户也可以通过URL检索内容(,或者它可以授予特定IAM用户和IAM角色的访问权限。但是,如果该用户/角色没有调用任何S3操作的权限,那么他们就无法访问bucket。
IAM或Bucket策略中的Deny策略优先于Allow。因此,具有访问bucket权限的IAM用户可以被bucket策略拒绝,反之亦然。
在AWS中,IAM是生成所有策略并将其分配给用户和/或角色的地方。通常,AWS建议使用S3存储桶策略或IAM策略进行访问控制。
"S3 ACL是IAM之前的遗留访问控制机制。但是,如果您已经使用了S3 ACL,并且发现它们已经足够了,没有必要改变">
默认情况下,用户/角色承担SCP提供的策略,SCP代表";服务控制策略";。它与您可能面临的策略非常相似,但这是由客户级别/或组织级别提供的。
在生成和假设策略的所有选项中,有一个逻辑";以及";这意味着在存在至少1〃的情况下;拒绝";在策略中,它将限制用户/角色访问特定的bucket,例如在您的案例中