AWS S3 позволяет читать все объекты, кроме определенной папки

Question

AWS S3 позволяет читать все объекты, кроме определенной папки

Как разрешить чтение всех объектов, кроме одной папки и ее содержимого? Правило ниже блокирует мне все ведро.. (не могу прочитать ведро)
Если эта функция невозможна, как я могу разрешить чтение файлов в корне, но запретить чтение для всех вложенных папок?

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::my-bucket"
        },
        {
            "Sid": "ReadOnly",
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::my-bucket/*"
        },
        {
            "Sid": "DenyOneFolder",
            "Effect": "Deny",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::my-bucket/my-folder",
                "arn:aws:s3:::my-bucket/my-folder/*"
            ]
        }
    ]
}

Структура моего ковша:

мое ведро
- моя папка
  - объект3
- объект1
- объект2

1

amazon-web-services amazon-s3 aws-policies

Источник

user5479813 07 апр '20 в 18:03

2 ответа

Другие вопросы по тегам amazon-web-services amazon-s3 aws-policies

user7303447 07 апр '20 в 19:07 2020-04-07 19:07 · Answer 1 · 2020-04-07 19:07

Вы можете добавить явное Deny в вашей политике корзины для объектов Listing, которые соответствуют префиксу my-folder.

Изменить: эта политика будет работать только в том случае, если запрос корзины списка содержит префикс.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::my-bucket"
        },
        {
            "Sid": "ReadOnly",
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::my-bucket/*"
        },
        {
            "Sid": "DenyOneFolderRead",
            "Effect": "Deny",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::my-bucket/my-folder/*"
            ]
        },
        {
            "Sid": "DenyOneFolderList",
            "Effect": "Deny",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::my-bucket",
            "Condition" : {
                "StringEquals" : {
                    "s3:prefix": "my-folder" 
                }
            } 
        }
    ]
}

user271415 07 апр '20 в 18:23 2020-04-07 18:23 · Answer 2 · 2020-04-07 18:23

Политика работает правильно, хотя я бы удалил Запретить на arn:aws:s3:::my-bucket/my-folder потому что это бесполезно.

Я думаю, что путаница здесь заключается в том, что вы ожидаете, что эта политика предотвратит перечисление пользователей IAM и / или получение объектов под s3://my-bucket/my-folder/. Это не будет делать этого, особенно часть листинга, и на самом деле вы не можете этого сделать. Вы не можете контролировать способность пользователя отображать сегмент на детальном уровне (например, ниже определенного префикса).

Политика успешно предотвратит получение пользователем (как при загрузке) объектов под s3://my-bucket/my-folder/.