2. 程式人生 > >設定IAM使用者許可權允許訪問特定S3的bucket或者目錄

設定IAM使用者許可權允許訪問特定S3的bucket或者目錄

阿新 發佈:2019-01-11
通過設定IAM使用者許可權,可以限制IAM使用者訪問特定的S3 bucket或者目錄的許可權。 (1) case1:只允許IAM使用者通過API或者s3cmd命令列工具訪問特定S3 bucket 
{
  "Statement": [
    {
       "Effect": "Allow",
       "Action": ["s3:ListBucket" ],
       "Resource": [ "arn:aws:s3:::mod-backup"]
    },
    {
        "Effect": "Allow",
        "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject"],
        "Resource": [ "arn:aws:s3:::mod-backup/*"]
    }
  ]
}
這樣雖然直接 s3cmd ls會報Access Deny,但是s3cmd ls s3://mod-backup還是可以看到的 (2) case2: 使用CloudBerry這類圖形化工具,只允許使用者訪問特定的S3bucket或者特定目錄 IAM user的授權跟API方式的一樣 
{
  "Statement": [
    {
       "Effect": "Allow",
       "Action": ["s3:ListBucket" ],
       "Resource": [ "arn:aws:s3:::mod-backup"]
    },
    {
        "Effect": "Allow",
        "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject"],
        "Resource": [ "arn:aws:s3:::mod-backup/*"]
    }
  ]
}
在配置CloudBerry的時候,通過配置External Bucket來只顯示該Bucket或者某個目錄 <1>配置整個bucket是External Bucket填寫bucket name,例如mod-backup <2>若只有改Bucket下某個目錄的許可權,就填寫mod-backup/wangfei (3) case3: 允許IAM使用者通過AWS console(web管理頁面)訪問且僅能訪問特定S3 bucket 
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetBucketLocation", "s3:ListAllMyBuckets"],
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket" ],
      "Resource": [ "arn:aws:s3:::mod-backup"]
    },
    {
      "Effect": "Allow",
      "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject"],
      "Resource": [ "arn:aws:s3:::mod-backup/*"]
    }
  ]
}
這樣IAM使用者只能讀寫mod-backup這個bucket,但是又個問題,雖然其他的bucket無許可權訪問到,但是在bucket列表中依然能看到,但看不到裡面的內容。修改成 
     "Action": ["s3:GetBucketLocation", "s3:ListAllMyBuckets"],
      "Resource": "arn:aws:s3:::mod-backup"
這樣也不行,這樣什麼bucket都列舉不出來,因為s3:GetBucketLocation這個api操作的物件只能是AllBucket。

相關推薦

設定IAM使用者許可權允許訪問特定S3的bucket或者目錄

通過設定IAM使用者許可權,可以限制IAM使用者訪問特定的S3 bucket或者目錄的許可權。 (1) case1:只允許IAM使用者通過API或者s3cmd命令列工具訪問特定S3 bucket { "Statement": [ { "

開啟MySQL遠端訪問許可權允許遠端連線(解決Host is not allowed to connect to this MySQL server問題)

登陸mysql資料庫     [[email protected] data]# mysql -uroot -p123456 檢視user表 mysql> select host,user,password from user;

Redis.....CentOS7下redis設定密碼、開放遠端訪問許可權

redis安裝成功後,預設是沒有設定密碼的啟動redis-cli,不需要認證,可直接進行操作,如下: 1 2 3 [[email protected]]# redis-cli 127.0.0.1:6379> keys * (empty li

MySQL遠端訪問許可權 允許遠端連線

1 首先cd / 到根目錄,開啟mysql控制檯 登入資料庫  mysql -u root -p 2、授權遠端連線 mysql> use mysql; Database changed mysql> grant all privileges on *.* to [e

開啟MySQL遠端訪問許可權 允許遠端連線

1、登陸mysql資料庫        mysql -u root -p    檢視user表 mysql> use mysql; Database changed mysql> select host,user,password from user; +

【轉發】centos 7開啟FTP以及新增使用者配置許可權,只允許訪問自身目錄,不能跳轉根目錄 linux下ftp配置檔案詳解

1.切換到root使用者 2.檢視是否安裝vsftp,我這個是已經安裝的。 [[email protected] vsftpd]# rpm -qa |grep vsftpd vsftpd-3.0.2-11.el7_2.x86_64 3.如果沒有發現,則安裝。 yum ins

虛擬機器centos,允許遠端訪問特定

1.ping 192.168.85.128 成功 2.telnet 192.168.85.128 3306 拒絕訪問 在3306埠,可見CentOS防火牆遮蔽了3306埠 修改方式為: 切換到root使用者 開啟iptables的配置檔案:vi /etc/sysc

iptables 防火牆 只允許某IP訪問某埠、訪問特定網站

需要開80埠,指定IP和區域網 下面三行的意思: 先關閉所有的80埠 開啟ip段192.168.1.0/24端的80口 開啟ip段211.123.16.123/24端ip段的80口 # iptables -I INPUT -p tcp --dport 80 -j DROP

設定伺服器上MySQL允許外網訪問

1.修改配置檔案sudo vim /etc/mysql/mysql.conf.d/mysqld.cnf把bind-address引數的值改成你的內/外網IP或0.0.0.0,或者直接註釋掉這行.2.登入資料庫mysql -u root -p輸入密碼mysql> use

apache安全設定——某個目錄允許訪問圖片,其他型別檔案不允許訪問

<VirtualHost *:80>     ServerAdmin [email protected]     DocumentRoot "F:/PHP/dztest"     ServerName www.dztest.com     Error

設定檔案的許可權,阻止使用者訪問(相容Windows和Linux)

最近的一個專案中需要修改本地檔案的許可權,即對其“加鎖”,使得使用者在解鎖之前不能對其訪問,要求在Windows和Linux下都能執行起來。我們都知道,Linux擁有很嚴格很規範的許可權管理,Linux之所以安全,很大原因也是因為它的許可權管理,因此在Linux

linux開啟FTP以及新增使用者配置許可權,只允許訪問自身目錄,不能跳轉根目錄

1.切換到root使用者 2.檢視是否安裝vsftp,我這個是已經安裝的。 [[email protected] vsftpd]# rpm -qa |grep vsftpd vsftpd-3.0.2-11.el7_2.x86_64 3.如果沒有發現,則安裝。

Apache禁止或允許固定IP訪問特定目錄、文件、URL

allow 控制 div 針對 地址 lin director htm gin 1. 禁止訪問某些文件/目錄 增加Files選項來控制,比如要不允許訪問 .inc 擴展名的文件,保護php類庫: <Files ~ "\.inc$"> Order a

iptbales 允許訪問vsftp

war ipo 端口 -- min tcp table cep 文件 1、允許20 21 端口iptables -I INPUT -p tcp -m multiport --dport 20,21 -j ACCEPT 2、允許關聯包通過iptables -A INPUT

Forefront TMG 2010 篇(九)--禁止用戶訪問特定網站

tmg 禁止訪問 url 集 上文已經提過可以允許用戶直接訪問外網了,但是公司有特定的要求,不允許某些用戶訪問某些網站,如:淘寶、QQ、奇藝等。所以我們又要進行相關的設置。計劃: A、建立二個用戶組: 無限制用戶>>>>公司因為要控制,允許一部分

Linux系統安全04使用iptables阻止訪問特定網站

tps sid string onf 系統安全 post eth ide PE 主要使用iptables的string擴展模塊,使用string參數阻止訪問特定網站的http/https服務,使用hex-string參數阻止對特定域名進行DNS解析。 比如,阻止訪問ba

nagios 多用戶權限管理---特定用戶訪問特定主機或服務

use 訪問 安裝 ice size 管理 desc add term nagios 多用戶權限管理---特定用戶訪問特定主機或服務1.nagios安裝????????????------------2.添加用戶和密碼htpasswd?/usr/local/nagios/e

配置iptables只允許訪問服務器的固定端口

sta 端口 1.4 let tables stat filter mit ner # Generated by iptables-save v1.4.7 on Wed Jul 11 22:25:28 2018 *filter :INPUT ACCEPT [59:2968]

防火墻限制訪問特定網站案例

告訴 接下來 配置 tcp 一點 解決 p地址 互聯 控制 近日遇到一個客戶有個需求,限制內部用戶只能訪問互聯網某些特定網站,其他都不行。想來沒什麽難度,域間策略放行了DNS地址和網站地址,測試,OK沒問題。 過了幾日,客戶說,網站打不開了

靜態方法中只允許訪問靜態數據,那麽,如何在靜態方法中訪問類的實例成員(即沒有附加static關鍵字的字段或方法)?

static關鍵字 實例成員 clas 靜態 image eth sys 靜態方法 http package test.two; public class jingtaihanshu { int x = 3; static int y