AWS ограничивает доступ к временным учетным данным getSessionToken с помощью StsClient

Бизнес Сенарио

Есть несколько офисов, которые имеют свои ведра AWS S3. Ни один пользователь из одного офиса не будет иметь доступа к другому офису S3 Bucket.

Следовательно, для каждого офиса есть S3 Bucket а также IAM user, Каждый пользователь IAM имеет разрешение только на одну группу. Так как офисы растут не часто, создание и назначение пользователей IAM выполняется вручную через AWS Console,

Приложение Senario

Браузер (Javascript) запрашивает у сервера (PHP API) временные учетные данные для загрузки файлов в AWS S3, PHP API выборки Access key ID а также Secret access key из базы данных (на основании офиса вошли в систему). Затем с помощью AWS PHP SDK, звонки StsClient и использует getSessionToken() метод, чтобы получить временные учетные данные и передать его в Javascript.

Код PHP

use Aws\Sts\StsClient;
$credentials = new Aws\Credentials\Credentials($resultset['awssecret'], $resultset['awspass']);

$stsoptions = [
'region'            => 'ap-south-1',
'version'           => '2011-06-15',
'signature_version' => 'v4',
'credentials'       => $credentials,
];

$stsClient = new StsClient($stsoptions);
$response = $stsClient->getSessionToken();

Вопрос

В настоящее время пользователь IAM имеет полный доступ к соответствующему сегменту. Я хочу ограничить доступ к временным учетным данным только определенным полномочиям. Понравилось только разрешение загружать, а не удалять файлы или перечислять все файлы.

Могу ли я передать дополнительный параметр StsClient где я могу ограничить разрешения на ведро?

Редактировать 1

Пользователю назначаются разрешения через политику. Ниже приведено разрешение, добавленное в политику.

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:ListBucketByTags",
"s3:GetBucketTagging",
"s3:DeleteObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListBucketVersions",
"s3:GetBucketLogging",
"s3:RestoreObject",
"s3:ListBucket",
"s3:GetAccelerateConfiguration",
"s3:GetObjectAcl",
"s3:AbortMultipartUpload",
"s3:GetObjectVersionAcl",
"s3:GetObjectTagging",
"s3:GetMetricsConfiguration",
"s3:PutObjectTagging",
"s3:DeleteObject",
"s3:PutBucketVersioning",
"s3:GetIpConfiguration",
"s3:DeleteObjectTagging",
"s3:ListBucketMultipartUploads",
"s3:GetBucketWebsite",
"s3:PutObjectVersionTagging",
"s3:DeleteObjectVersionTagging",
"s3:GetBucketVersioning",
"s3:GetBucketAcl",
"s3:GetReplicationConfiguration",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:GetObject",
"s3:GetBucketCORS",
"s3:GetAnalyticsConfiguration",
"s3:GetObjectVersionForReplication",
"s3:GetBucketLocation",
"s3:ReplicateDelete",
"s3:GetObjectVersion"],
"Resource": [
"arn:aws:s3:::aws:s3:::mybucket",
"arn:aws:s3:::*/*"]
}
]
}

Мое решение основано на ответе, предложенном Принятым ответом.

Основываясь на предложении в ответе, добавил разрешение

 {
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "*"}

Теперь мой PHP-код

$policy = '{
"Id": "Policy1534086947311",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1534086676951",
"Action": [
"s3:PutObject",
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::mybucket"}
}
]
}';

$awsrole = [
'Policy' => $policy,
'RoleArn' => 'arn:aws:s3:::mybucket',
'RoleSessionName' => 'credApi' // just a random value
];
$response = $stsClient->assumeRole($awsrole);

1

Решение

Создайте роль IAM с более жесткими правами доступа, а затем используйте свои учетные данные пользователя IAM для вызова AssumeRole чтобы получить временные полномочия. Роль IAM разрешает только s3: PutObject * в соответствующий сегмент. Пользователю IAM потребуется разрешение взять на себя роль.

Или просто попросите сервер сгенерировать предварительно подписанный URL-адрес для загрузки в объект в соответствующем сегменте S3. Клиент не сможет использовать URL для любых других операций S3.

2

Другие решения

Других решений пока нет …

По вопросам рекламы [email protected]