sRuby 1.8.7(是的,我知道它很古老)
aws-sdk-v1 1.60.2
AWS S3
我试图限制对S3存储桶的访问,以便只有一个用户可以读/写它。
我创建了以下权限策略并将其附加到IAM用户,我们称之为UserX:
{
"Version": "2012-10-17",
"Statement": [
{ "Sid":"my_sid",
"Effect":"Allow",
"Action":"s3:*",
"Resource": "arn:aws:s3:::my_bucket_name/*"
}]
}
我的期望是因为UserX附加了这个策略,他们将是唯一可以对此存储桶执行任何操作的用户。
但是,如果我在没有凭据的情况下连接到AWS,我可以毫无问题地写入此存储桶。这不是我想要的。我不希望除了UserX之外的任何人都写入这个桶(或者从那里读取)。
如果我从UserX中删除此策略,则默认行为适用 - 请求(经过身份验证或未经过身份验证)都无法写入作品,这正是我所期望的。
此政策似乎开放了对所有用户的访问权限,即使它已附加到UserX。
这是我用来执行此操作的(有效 - 实际代码在方法中)代码:
对于未经身份验证的请求(可以写但不应该:
的请求) s3 = AWS::S3.new
bucket = s3.buckets[my_bucket_name]
o = bucket.objects[aws_filename]
o.write(:file => filename_on_local_system)
对于经过身份验证的请求:
AWS.config(:access_key_id => AWS_ACCESS_KEY_ID,
:secret_access_key => AWS_SECRET_ACCESS_KEY,
:region => 'us-west-2')
s3 = AWS::S3.new
bucket = s3.buckets[my_bucket_name]
o = bucket.objects[aws_filename]
o.write(:file => filename_on_local_system)
我也试过了:
AWS策略模拟器似乎可以工作,但由于您无法指定哪个用户正在执行操作,因此它无法帮我调试此操作。
这非常令人沮丧。我想我可能需要研究ACL,即使它们不受欢迎。
感谢任何帮助。
韦斯
答案 0 :(得分:2)
我正在使用的客户端软件仍然从配置文件(aws.yml)中获取凭据,即使我在配置时明确没有传递凭据。
感谢您的帮助。
韦斯