堆栈内存溢出
  繁体   English   中英

适用于角色的AWS S3 IAM策略,用于根据实例标签或实例ID限制几个实例连接到S3存储桶

[英]AWS S3 IAM policy for role for restricting few instances to connect to S3 bucket based in instance tag or instance id

 原文  2016-03-01 08:54:58       amazon-web-services/ amazon-s3

问题描述

我已经有一个与所有实例相关联的AWS S3,以获取对所有S3存储桶的读取特权。 现在,我需要向角色授予写权限(放置对象)的策略,以便其中一些实例可以对S3中的某些文件夹具有写权限。 有什么方法可以通过实例标签(对我来说更好的选择)或实例ID来实现。

我尝试添加IAM策略,但是在设置条件时,我的实例未获得所需的特权。

我使用的IAM策略是: 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1456567757624",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::testbucket/testfolder1/*",
      "Condition": {
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:ec2:eu-west-1:<accountno>:instance/<instanceid1>"
        }
      }
    },
    {
      "Sid": "Stmt1456567757625",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::testbucket/testfolder2/*",
      "Condition": {
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:ec2:eu-west-1:<accountno>:instance/<instanceid2>"
        }
      }
    }
  ]
}

2 个解决方案

解决方案1
 4 已采纳  2016-03-01 10:29:11

这是一种替代方法,基于根据角色名称授予对S3资源的访问权限中给出的提示...

代替使用aws:SourceArn ,使用aws:userid

可用于策略变量请求信息文档中的表显示了aws:userid各种值,包括:

对于分配给Amazon EC2实例的 role-id:ec2-instance-id ,其设置为role-id:ec2-instance-id

因此,您可以使用用于启动Amazon EC2实例以允许访问的角色的Role IDInstance ID

例如,这个基于Role ID 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SID123",
            "Effect": "Allow",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:userid": [
                        "AROAIIPEUJOUGITIU5BB6*"
                    ]
                }
            }
        }
    ]
}

当然,如果您要基于角色ID分配权限,则可以轻松地在角色本身内授予权限。

这是基于实例ID的 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SID123",
            "Effect": "Allow",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:userid": [
                        "*:i-03c9a5f3fae4b630a"
                    ]
                }
            }
        }
    ]
}

实例ID将与该实例一起保留,但是如果启动了一个新实例,即使来自同一Amazon Machine Image(AMI),也将分配一个新实例ID。

解决方案2
 1  2016-03-01 09:50:43

IAM策略元素参考文档说:

aws:SourceArn –使用源的Amazon资源名称(ARN)检查请求的源。 (此值仅适用于某些服务。)

但是,文档没有说明哪些服务可以使用它。

有一些示例可用于SQS和SNS,Amazon S3存储桶的 sourceARN以及Lambda的sourceARN 但是,Amazon EC2似乎不支持它。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 S3存储桶策略和IAM角色冲突 基于命名空间或标记的Amazon AWS S3 IAM策略 S3存储桶上的IAM策略 S3 存储桶策略拒绝除特定 AWS 服务角色和 IAM 角色之外的所有内容 AWS:在S3存储桶中将IAM用户限制为特定文件夹 S3 存储桶策略 IAM 角色显示为 API 密钥 AWS S3 存储桶策略:基于账户 ID 前缀的权限 跨账户访问特定 AWS 账户中的 S3 存储桶的 IAM 角色策略 AWS IAM S3 策略 基于 IAM 用户标签限制 S3 访问(前缀)的 AWS IAM 策略
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM