Есть несколько офисов, которые имеют свои ведра AWS S3. Ни один пользователь из одного офиса не будет иметь доступа к другому офису S3 Bucket.
Следовательно, для каждого офиса есть S3 Bucket
а также IAM user
, Каждый пользователь IAM имеет разрешение только на одну группу. Так как офисы растут не часто, создание и назначение пользователей IAM выполняется вручную через AWS Console
,
Браузер (Javascript) запрашивает у сервера (PHP API) временные учетные данные для загрузки файлов в AWS S3
, PHP API выборки Access key ID
а также Secret access key
из базы данных (на основании офиса вошли в систему). Затем с помощью AWS PHP SDK
, звонки StsClient
и использует getSessionToken()
метод, чтобы получить временные учетные данные и передать его в Javascript.
Код PHP
use Aws\Sts\StsClient;
$credentials = new Aws\Credentials\Credentials($resultset['awssecret'], $resultset['awspass']);
$stsoptions = [
'region' => 'ap-south-1',
'version' => '2011-06-15',
'signature_version' => 'v4',
'credentials' => $credentials,
];
$stsClient = new StsClient($stsoptions);
$response = $stsClient->getSessionToken();
В настоящее время пользователь IAM имеет полный доступ к соответствующему сегменту. Я хочу ограничить доступ к временным учетным данным только определенным полномочиям. Понравилось только разрешение загружать, а не удалять файлы или перечислять все файлы.
Могу ли я передать дополнительный параметр StsClient
где я могу ограничить разрешения на ведро?
Редактировать 1
Пользователю назначаются разрешения через политику. Ниже приведено разрешение, добавленное в политику.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:ListBucketByTags",
"s3:GetBucketTagging",
"s3:DeleteObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListBucketVersions",
"s3:GetBucketLogging",
"s3:RestoreObject",
"s3:ListBucket",
"s3:GetAccelerateConfiguration",
"s3:GetObjectAcl",
"s3:AbortMultipartUpload",
"s3:GetObjectVersionAcl",
"s3:GetObjectTagging",
"s3:GetMetricsConfiguration",
"s3:PutObjectTagging",
"s3:DeleteObject",
"s3:PutBucketVersioning",
"s3:GetIpConfiguration",
"s3:DeleteObjectTagging",
"s3:ListBucketMultipartUploads",
"s3:GetBucketWebsite",
"s3:PutObjectVersionTagging",
"s3:DeleteObjectVersionTagging",
"s3:GetBucketVersioning",
"s3:GetBucketAcl",
"s3:GetReplicationConfiguration",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:GetObject",
"s3:GetBucketCORS",
"s3:GetAnalyticsConfiguration",
"s3:GetObjectVersionForReplication",
"s3:GetBucketLocation",
"s3:ReplicateDelete",
"s3:GetObjectVersion"],
"Resource": [
"arn:aws:s3:::aws:s3:::mybucket",
"arn:aws:s3:::*/*"]
}
]
}
Мое решение основано на ответе, предложенном Принятым ответом.
Основываясь на предложении в ответе, добавил разрешение
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "*"}
Теперь мой PHP-код
$policy = '{
"Id": "Policy1534086947311",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1534086676951",
"Action": [
"s3:PutObject",
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::mybucket"}
}
]
}';
$awsrole = [
'Policy' => $policy,
'RoleArn' => 'arn:aws:s3:::mybucket',
'RoleSessionName' => 'credApi' // just a random value
];
$response = $stsClient->assumeRole($awsrole);
Создайте роль IAM с более жесткими правами доступа, а затем используйте свои учетные данные пользователя IAM для вызова AssumeRole чтобы получить временные полномочия. Роль IAM разрешает только s3: PutObject * в соответствующий сегмент. Пользователю IAM потребуется разрешение взять на себя роль.
Или просто попросите сервер сгенерировать предварительно подписанный URL-адрес для загрузки в объект в соответствующем сегменте S3. Клиент не сможет использовать URL для любых других операций S3.
Других решений пока нет …