Object Storage

Политики доступа (Bucket Policy) в Object Storage

Bucket Policy позволяет задать права на действия с бакетами, объектами и группами объектов в хранилище.

В отличие от ACL, политики доступа имеют более гибкие настройки доступа к ресурсам. Вы можете разрешить доступ к ресурсам с конкретных IP-адресов, выдать полный доступ к бакетам нескольким пользователям или разрешить скачивать всем пользователям только определенный объект.

Правила Bucket Policy задаются в JSON-файле, который состоит из нескольких базовых элементов.

Элементы политики доступа

Политику доступа можно создать с помощью генератора политик AWS и передать через API или сторонний инструмент, например AWS CLI.

Элементы политики
Элемент	Описание
Id	Идентификатор политики доступа.
Version	Версия языка политики. Определяет синтаксис языка для правил, которые будут использоваться в политике. Актуальная версия 2012-10-17.
Statement	Основной и обязательный элемент политики. Может содержать один оператор или массив отдельных операторов. Каждый отдельный блок операторов заключается в { }, массив из операторов заключается в [ ]: "Statement": [{...},{...},{...}]
Sid	Дополнительный идентификатор политики . Значение Sid должно быть уникальным в рамках политики. Sid поддерживает прописные буквы A-Z, строчные буквы a-z и цифры 0–9.
Effect	Обязательный элемент политики, разрешает или запрещает действие оператора. Допустимые значения Allow или Deny. По умолчанию, доступ к ресурсам запрещен.
Principal	Обязательный элемент, указывает на получателя разрешения . Получаетелем может быть пользователь сервисный аккаунт или все пользователи интернета. Если указать * то политика будет назначена для всех пользователей интернета.
NotPrincipal	Необязательный элемент. Устанавливает запрет доступа для всех пользователей кроме тех, что указаны в NotPrincipal.
Action	Указывает действие или действия, которые разрешает или запрещает политика. Для указания нескольких действий используется массив ["","",""]. Если указать *, то политика применится для всех действий.
NotAction	Расширенный элемент политики, который разрешает все действия, кроме перечисленных в списке этого элемента. На действия, которые указаны в NotAction не влияет Allow или Deny, которые указаны в элементе Effect. Например, если вы используете "Effect": "Allow", то все действия вне списка NotAction будут разрешены.
Resource	Указывает ресурс или ресурсы, для которого применяется правило. В качестве ресурса может быть указан бакет, объект в бакете (<bucket_name>/../<key>) или префикс . Для обозначение всех объектов в бакете можно использовать пустой префикс <bucket_name>/. Если в качестве ресурса указан бакет, то он не будет включать в себя объекты внутри бакета. Чтобы включить в правило и бакет и объекты внутри бакета, укажите их как отдельные ресурсы: "Resource": [ "arn:aws:s3:::<bucket-name>", "arn:aws:s3:::<bucket-name>/*", ] Для формата JSON, ресурс должен содддержать префикс arn:aws:s3:::.
NotResource	Расширенный элемент политики, который разрешает все ресурсы, кроме перечисленных в списке этого элемента.
Condition	Блок условий, при которых политика вступает в силу. В элементе используются операторы условий для сопоставления ключей и значений в политике с ключами и значениями в запросе: "Condition" : { "{condition-operator}" : { "{condition-key}" : "{condition-value}" }}

Подробнее об элементах политики можно прочитать в документации AWS.

Примеры политик доступа

Политика, которая делает бакет публичным:

{
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::my_bucket/*"
    }
  ]
}

Политика, которая разрешает скачивать объекты из бакета только для указанного пула IP-адресов:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::my_bucket/*",
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": "100.100.100.100/10"
        }
      }
    }
  ]
}

Политика, которая запрещает всем пользователям доступ к операции s3:GetObject в определенной директории бакета, но разрешает доступ к другим объектам бакета.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::my_bucket/*"
    },
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::my_bucket/you_shall_not_pass/*"
    }
  ]
}

См.также

Была ли статья полезной ?

Предыдущая статья

Списки управления доступом (ACL) в Object Storage

Следующая статья

Концепции