我的公司在AWS中设置了一个组织(以CompanyA为例)。每个团队都有一个加入该组织的帐户(HR,ProductA,ProductB等)。我们ProductA正在尝试授予对S3存储桶的只读访问权限,该存储库作为我们拥有的yum存储库,我们拥有这个组织中的任何人,而不是auth(yum命令可以在框外工作)
我们评估的一些项目: https://github.com/rmela/yum-s3-plugin - >这将伴随用户主体访问,用户需要添加他们的密钥以从repo
拉出http://parthicloud.com/how-to-access-s3-bucket-from-application-on-amazon-ec2-without-access-credentials/ - >对于您自己的帐户内部的精彩教程,需要使用IAM策略启动ec2实例以允许访问存储桶。
答案 0 :(得分:1)
在存储桶策略中添加一个条件,列出您的AWS组织,并允许所有主体访问。请参见AWS Global Condition Context Keys,搜索aws:PrincipalOrgID。 “添加和删除帐户时,包含aws:PrincipalOrgID的策略会自动包含正确的帐户,不需要手动更新。”
以下示例中的Action和Resource部分应与列出您组织中所有AWS账户的当前策略相同。
{
"Version": "2012-10-17",
"Statement": {
"Sid": "AllowOrganizationToReadYumBucket",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::your-yum-bucket",
"arn:aws:s3:::your-yum-bucket/*"
],
"Condition": {
"StringEquals": {"aws:PrincipalOrgID":["o-xxxxxxxxxxx"]}
}
}
}
答案 1 :(得分:0)
Amazon S3存储桶策略无法引用 AWS Organization 中的一组帐户。
您的存储分区策略需要单独列出每个帐户的权限。例如:
"Principal":{"AWS":"arn:aws:iam::ACCOUNT-NUMBER:user/*"}