python-如何使用AWS S3策略为联盟用户强制执行资源所有权?
作者:互联网
我正在编写一个有一组用户的应用程序,每个用户在S3存储桶中的“目录”中将有许多与之关联的文件.用户将使用Amazon的STS进行身份验证,获得临时安全凭证,该凭证应允许他们访问自己拥有的资源,同时不允许他们访问自己不拥有的资源(请考虑“主”目录).
假设用户已经存在于系统中(并且已通过身份验证),并且使用命名方案创建了他们的文件存储桶(没有指定的策略或ACL):
<< my app's bucket>>/<< user's identifier >>/
在请求用户访问文件期间,我们使用boto授予临时安全凭证,如下所示:
get_federation_token(<< user's identifier >>, duration,policy=user_policy)
其中user_policy是:
user_policy = (r'{"Statement": [{"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:DeleteObject",
"s3:DeleteObjectVersion"],
"Resource":"arn:aws:s3:::/%s/*"}]}' % (<< user's identifier >>))
我以为我了解政策,但显然我缺少一些东西.使用上述方案,我可以获取/放置用户目录下的资源,也可以获取属于其他用户的目录/资源.在我的一生中,我无法完全隔离访问权限.我也曾参与过桶政策,但这没有见效.
任何方向将不胜感激.
注意:我一直在使用STS,因为我们可能有太多用户无法创建/使用IAM用户.
解决方法:
有人问这样的问题-事实证明,使用存储桶策略在存储桶上设置了全局公众读取权限.仔细检查是否没有其他允许访问的ACL等.而且看起来没有“列表”访问权限-这就是您想要的吗?您可以打电话给“存储桶”获取其中所有文件的清单吗? (您应该无法执行此操作).
不知道这是否有帮助-他们在策略中使用“ StringLike”.
http://www.techtricky.com/amazon-s3-how-to-restrict-user-access-to-specific-folder-or-bucket/
https://forums.aws.amazon.com/search.jspa?objID=f76&q=stringlike&x=0&y=0
标签:amazon-web-services,amazon-s3,boto,python 来源: https://codeday.me/bug/20191202/2085983.html