是否可以使用访问密钥ID和秘密访问密钥从另一个帐户访问S3存储桶?
我知道钥匙通常用于API/CLI访问,但是我想知道我是否可以单独使用这两个键。
。解决方法是在AWS上运行CLI并反复同步两个文件夹。
编辑:如果我无法访问原始帐户,那我该如何进行?我有钥匙,想将其添加到第二个帐户中 - 但不能对第一个
是否可以使用访问密钥ID和秘密访问密钥从另一个帐户访问S3存储牌?
是,如果配置。访问S3是S3存储桶由您是谁,您的IAM策略,您需要采取的措施以及存储桶配置是什么(策略,权限,阻止公共访问权限,...(。
您可以阅读文档,以查看影响访问一定请求的不同因素:https://docs.aws.amazon.com/amazons3/latest/userguide/how-s3-evaluates-access-cess-conter-control.html
要配置交叉帐户访问,您有三个选择:
- 配置存储策略,该策略允许该帐户中的另一个帐户或本金中的某些或所有API操作。这是非常灵活的,几乎可以在保持安全的同时所有S3桶动作。
- 配置允许另一个帐户的ACL策略。这是在存在存储措施策略之前,但是在某些情况下可能会更简单
- 配置交叉帐户IAM角色。这基本上为另一个AWS帐户提供了权限。这是比其他选项最灵活的,因为它可以包括任何动作。
以上记录了以上三种方式:https://aws.amazon.com/premiumsupport/knowledge-center/cross-account-account-access-s3/
现在,在文档中,使用策略仅用于程序化访问,但目前,您也可以在控制台中使用它,尽管这不是记录的功能。如果您可以通过存储牌策略访问,则可以通过在URL中键入存储桶名来打开控制台中的存储桶(用您的存储桶名替换bucket-name(:https://s3.console.aws.amazon.com/s3/buckets/bucket-name
另一个问题是,如果您只有IAM访问密钥ID和秘密,则如何访问控制台。要访问控制台,您的IAM用户需要一个密码,而没有该密码,就无法使用IAM用户,但是,如果您的权限足够多,则可以自己设置密码。您可以使用的另一件事是,如果您可以担任IAM角色(如果您有足够的权限可以创建自己的权限(,则可以简单地使用可以使用Federation API生成控制台链接的工具。我知道这是一些:
- https://github.com/trek10inc/awsume-console-plugin
- https://github.com/jnawk/aws-electron
- https://github.com/netspi/aws_consoler
您可以使用AWS CLI,对于unix,例如系统:
WS_ACCESS_KEY_ID='...' AWS_SECRET_ACCESS_KEY='...' aws s3 ls s3://bucket/prefix
简短的答案是"是的。
"如何?"有很多选择。您可以在选择的语言中使用boto3或AWS SDK,在Lambda,EC2或ECS容器等中运行它,等等。
您甚至可以执行自己的SIGV4来签署您的请求(这就是AWS SDK在内部执行的操作(。