python-如何使用AWS S3策略为联盟用户强制执行资源所有权?
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了python-如何使用AWS S3策略为联盟用户强制执行资源所有权?,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1492字,纯文字阅读大概需要3分钟。
内容图文
我正在编写一个有一组用户的应用程序,每个用户在S3存储桶中的“目录”中将有许多与之关联的文件.用户将使用Amazon的STS进行身份验证,获得临时安全凭证,该凭证应允许他们访问自己拥有的资源,同时不允许他们访问自己不拥有的资源(请考虑“主”目录).
假设用户已经存在于系统中(并且已通过身份验证),并且使用命名方案创建了他们的文件存储桶(没有指定的策略或ACL):
<< my app's bucket>>/<< user's identifier >>/
在请求用户访问文件期间,我们使用boto授予临时安全凭证,如下所示:
get_federation_token(<< user's identifier >>, duration,policy=user_policy)
其中user_policy是:
user_policy = (r'{"Statement": [{"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:DeleteObject",
"s3:DeleteObjectVersion"],
"Resource":"arn:aws:s3:::/%s/*"}]}' % (<< user's identifier >>))
我以为我了解政策,但显然我缺少一些东西.使用上述方案,我可以获取/放置用户目录下的资源,也可以获取属于其他用户的目录/资源.在我的一生中,我无法完全隔离访问权限.我也曾参与过桶政策,但这没有见效.
任何方向将不胜感激.
注意:我一直在使用STS,因为我们可能有太多用户无法创建/使用IAM用户.
解决方法:
有人问这样的问题-事实证明,使用存储桶策略在存储桶上设置了全局公众读取权限.仔细检查是否没有其他允许访问的ACL等.而且看起来没有“列表”访问权限-这就是您想要的吗?您可以打电话给“存储桶”获取其中所有文件的清单吗? (您应该无法执行此操作).
不知道这是否有帮助-他们在策略中使用“ StringLike”.
http://www.techtricky.com/amazon-s3-how-to-restrict-user-access-to-specific-folder-or-bucket/
https://forums.aws.amazon.com/search.jspa?objID=f76&q=stringlike&x=0&y=0
内容总结
以上是互联网集市为您收集整理的python-如何使用AWS S3策略为联盟用户强制执行资源所有权?全部内容,希望文章能够帮你解决python-如何使用AWS S3策略为联盟用户强制执行资源所有权?所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。