Правильная политика S3 для предварительно подписанных URL
Мне нужно выдать предварительно подписанные URL-адреса, чтобы пользователи могли получать и помещать файлы в определенную корзину S3. Я создал пользователя IAM и использовал его ключи для создания предварительно подписанных URL-адресов и добавил собственную политику, встроенную в этого пользователя (см. Ниже). Когда я использую сгенерированный URL, я получаю AccessDenied ошибка с моей политикой. Если я добавлю FullS3Access политика для пользователя IAM, файл может быть GET или PUT с тем же URL, поэтому, очевидно, моя пользовательская политика отсутствует. Что с этим не так?
Вот пользовательская политика, которую я использую, которая не работает:
{
"Statement": [
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::MyBucket"
]
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:DeleteBucketPolicy",
"s3:DeleteObject",
"s3:GetBucketPolicy",
"s3:GetLifecycleConfiguration",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:PutBucketPolicy",
"s3:PutLifecycleConfiguration",
"s3:PutObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::MyBucket/*"
]
}
]
}
6 ответов
Вот политика IAM, которая работает для моих заранее заданных URL-адресов S3.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::mydocs/*"
}
]
}
Интересно, в чем проблема? Resourceчасть. Были ли ваши запросы GET для сегментаMyBucket всегда?
Я также работал над функцией, которая использовала заранее подписанные GET и помещала URL-адреса, в частности, ролью, связанной с функцией AWS Lambda. Я обнаружил небольшую хитрость в том, что мне также нужно было разрешить использование ключа KMS, который шифровал ведро.
Я наткнулся на эту необычную статью, которая указала мне правильное направление. Необязательно разрешать разрешения уровня корзины для предварительного подписания URL, только несколько разрешений на уровне объекта.
Короче говоря, моя политика лямбда-ролей для поддержки заранее заданных URL-адресов выглядела следующим образом. Обратите внимание, что разрешение журнала cloudwatch не имеет значения для подписи, но обычно важно для лямбда-функций:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:*",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "<my-bucket-arn-expression>/*",
"Effect": "Allow"
},
{
"Sid": "KMSAccess",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:ReEncrypt*"
],
"Effect": "Allow",
"Resource": "<my-key-arn>"
}
]
}
Если вы используете встроенное шифрование AES (или не используете шифрование), ваша политика может быть упрощена до следующего:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:*",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "<my-bucket-arn-expression>/*",
"Effect": "Allow"
}
]
}
Разрешения корзины против разрешений объекта
Следующие разрешения вашей политики должны быть на уровне Bucket (arn:aws:s3:::MyBucket), а не подпуть внутри Bucket (например, arn:aws:s3:::MyBucket/*):
- s3: CreateBucket
- s3: DeleteBucket
- s3: DeleteBucketPolicy
- s3: GetBucketPolicy
- s3: GetLifecycleConfiguration
- s3: ListBucket
- s3: ListBucketMultipartUploads
- s3: PutBucketPolicy
- s3: PutLifecycleConfiguration
См.: Определение разрешений в политике
Однако это не является причиной вашей неспособности PUT или GET файлов.
ПОЛУЧИТЬ
Тот факт, что вы назначили права доступа GetObject, означает, что вы сможете получить объект из корзины S3. Я проверил это, назначив свою политику пользователю, а затем используя его учетные данные для доступа к объекту, и он работал правильно.
ПОЛОЖИЛ
Я также использовал вашу политику для загрузки через веб-форму, и она работала правильно.
Вот форма, которую я использовал для загрузки:
<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>S3 POST Form</title>
<style type="text/css"></style></head>
<body>
<form action="https://<BUCKET-NAME>.s3.amazonaws.com/" method="post" enctype="multipart/form-data">
<input type="hidden" name="key" value="uploads/${filename}">
<input type="hidden" name="AWSAccessKeyId" value="<ACCESS-KEY>">
<input type="hidden" name="acl" value="private">
<input type="hidden" name="success_action_redirect" value="http://<BUCKET-NAME>.s3.amazonaws.com/ok.html">
<input type="hidden" name="policy" value="<ENCODED-POLICY>">
<input type="hidden" name="signature" value="<SIGNATURE>">
<input type="hidden" name="Content-Type" value="image/jpeg">
<!-- Include any additional input fields here -->
File to upload to S3:
<input name="file" type="file">
<br>
<input type="submit" value="Upload File to S3">
</form>
Вот как я создал подпись:
#!/usr/bin/python
import base64
import hmac, hashlib
policy_document = '{"expiration": "2018-01-01T00:00:00Z", "conditions": [ {"bucket": "<BUCKET-NAME>"}, ["starts-with", "$key", "uploads/"], {"acl": "private"}, {"success_action_redirect": "http://BUCKET-NAME.s3.amazonaws.com/ok.html"}, ["starts-with", "$Content-Type", ""], ["content-length-range", 0, 1048000] ] }'
AWS_SECRET_ACCESS_KEY = "<SECRET-KEY>"
policy = base64.b64encode(policy_document)
signature = base64.b64encode(hmac.new(AWS_SECRET_ACCESS_KEY, policy, hashlib.sha1).digest())
print policy
print
print signature
Что сработало для меня, так это:
{
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::<your-bucket-name>"
],
"Effect": "Allow"
}
Примечание. Я не упомянул здесь другие политики, например разрешения для журналов CloudWatch или XRay.
После недели возни с разрешениями IAM это сработало. Моя цель состояла в том, чтобы создать presigned_url для чтения образа S3 (и срок его действия не истечет до 7 дней).
KMS и S3 необходимы.
STS может и не понадобиться, но я тоже возился с функцией "accept_role".
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"kms:Decrypt",
"kms:Encrypt",
"kms:DescribeKey",
"kms:ReEncrypt*",
"kms:GenerateDataKey*"
],
"Resource": [
"arn:aws:kms:*:<account-number>:key/*",
"arn:aws:s3:::<bucket-name>/*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"sts:GetSessionToken",
"sts:DecodeAuthorizationMessage",
"sts:GetAccessKeyInfo",
"sts:GetCallerIdentity",
"sts:GetServiceBearerToken"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "sts:*",
"Resource": [
"arn:aws:iam::<account-number>:<role-arn>",
"arn:aws:iam::<account-number>:user/<aws-user-name>"
]
}
]
}
вот функция, которая использует эти учетные данные пользователя
from botocore.config import Config
my_config = Config(
region_name = 'us-east-2',
signature_version = 's3v4',
s3={'addressing_style': 'path'},
)
client = boto3.client('s3', config=my_config,
aws_access_key_id = AWS_ACCESS_KEY_ID,
aws_secret_access_key = AWS_SECRET_ACCESS_KEY
)
presigned_url = client.generate_presigned_url(
'get_object',
Params={'Bucket': bucket_name, 'Key': key_name},
ExpiresIn=604800,
HttpMethod=None
)
Если вы используете собственный ключ kms для шифрования своей корзины, вы должны убедиться, что политика ключей позволяет вашему пользователю/роли, которую вы используете, генерировать заранее заданный URL-адрес.
Если этому удостоверению не предоставлены следующие разрешения в политике ключей, вы также получите сообщение об отказе в доступе при попытке загрузки через заранее заданный URL-адрес.
...
"Action": [
"kms:ReEncrypt*",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:GenerateDataKey",
"kms:Encrypt",
"kms:DescribeKey",
"kms:Decrypt"
],
...