标签：amazon-web-services amazon-s3 boto python

我正在编写一个有一组用户的应用程序,每个用户在S3存储桶中的“目录”中将有许多与之关联的文件.用户将使用Amazon的STS进行身份验证,获得临时安全凭证,该凭证应允许他们访问自己拥有的资源,同时不允许他们访问自己不拥有的资源(请考虑“主”目录).

假设用户已经存在于系统中(并且已通过身份验证),并且使用命名方案创建了他们的文件存储桶(没有指定的策略或ACL)：

<< my app's bucket>>/<< user's identifier >>/

在请求用户访问文件期间,我们使用boto授予临时安全凭证,如下所示：

get_federation_token(<< user's identifier >>, duration,policy=user_policy)

其中user_policy是：

user_policy =  (r'{"Statement": [{"Effect":"Allow",
    "Action":[
"s3:PutObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:DeleteObject",
"s3:DeleteObjectVersion"],
    "Resource":"arn:aws:s3:::/%s/*"}]}' % (<< user's identifier >>))

我以为我了解政策,但显然我缺少一些东西.使用上述方案,我可以获取/放置用户目录下的资源,也可以获取属于其他用户的目录/资源.在我的一生中,我无法完全隔离访问权限.我也曾参与过桶政策,但这没有见效.

任何方向将不胜感激.

注意：我一直在使用STS,因为我们可能有太多用户无法创建/使用IAM用户.

解决方法:

有人问这样的问题-事实证明,使用存储桶策略在存储桶上设置了全局公众读取权限.仔细检查是否没有其他允许访问的ACL等.而且看起来没有“列表”访问权限-这就是您想要的吗？您可以打电话给“存储桶”获取其中所有文件的清单吗？ (您应该无法执行此操作).

不知道这是否有帮助-他们在策略中使用“ StringLike”.
http://www.techtricky.com/amazon-s3-how-to-restrict-user-access-to-specific-folder-or-bucket/

https://forums.aws.amazon.com/search.jspa?objID=f76&q=stringlike&x=0&y=0

标签：amazon-web-services,amazon-s3,boto,python
来源： https://codeday.me/bug/20191202/2085983.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。