如何限制S3存儲桶到特定的IAM用戶只能通過API令牌訪問它

Question

我們有一個類似於Dropbox的應用程序，我們將用戶的文件存儲在S3中。用戶執行此操作的唯一方法是通過應用程序（與Dropbox類似）。

由於有效的隱私問題，我們希望限制該S3存儲桶的訪問權限，因此存儲桶的內容只能通過應用訪問 - 爲此我們創建了API令牌並使用它訪問內容。

我們甚至不希望root帳戶能夠遍歷該特定S3存儲桶的內容。

但是，如果需要一些行政干預，我們希望能夠授予特定用戶帳戶物理遍歷S3存儲桶的能力，並在該時間點執行所需的任何操作。一旦所述管理任務完成，訪問應該被撤銷。

你有沒有遇到過這種情況？怎麼會去實現這樣的事情呢？

感謝您的想法

Answer 1

的根證書與AWS賬戶相關聯的具有完全的權限。即使他們不這樣做，他們也能夠刪除阻止權限。通常情況下，公司通過添加多因素身份驗證（MFA）設備並將其鎖定在安全區域中來保護其根登錄。

你可以隨便寫，否認除了特定的IAM用戶的所有訪問桶政策，和你的應用程序可以使用IAM用戶或者：

• 下載內容，然後直接服務於它給客戶，或
• 創建是授予在Amazon S3的私人物品限時訪問前簽署的網址，然後提供這些網址給客戶，讓他們可以從Amazon S3
下載對象

臨時訪問可以通過修改桶策略來授予。當然，您應該限制普通用戶修改桶策略的能力。

對於這種敏感信息，您應該可能會創建一個單獨的AWS賬戶。這樣，只有少數人能夠訪問該帳戶，從而防止意外授予訪問權限。例如，如果系統管理員被授權訪問帳戶A中的所有S3存儲桶，他們將無法訪問帳戶B中的存儲桶。