文章/答案/技术大牛

发布

社区首页 >问答首页 >AWS使用getSessionToken限制对临时凭据的访问

问AWS使用getSessionToken限制对临时凭据的访问
EN

Stack Overflow用户

提问于 2018-08-12 14:38:04

回答 1查看 1.2K关注 0票数 2

商务议员

有多个办公室有自己的AWS S3桶。一个办公室的任何用户都不能访问另一个办公室的S3桶。

因此，每个办公室都有一个S3 Bucket和一个IAM user。每个IAM用户只拥有一个桶的权限。由于办公室不经常增长，IAM用户创建和分配权限是通过AWS Console手动完成的。

应用程序

Browser (Javascript)要求服务器(PHP )提供临时凭据，以便将文件上载到AWS S3。PHP从数据库中获取Access key ID和Secret access key (基于office登录)。然后使用AWS PHP SDK调用StsClient并使用getSessionToken()方法获取临时凭据并将其传递给Javascript。

PHP代码

use Aws\Sts\StsClient;
$credentials = new Aws\Credentials\Credentials($resultset['awssecret'], $resultset['awspass']);

$stsoptions = [
  'region'            => 'ap-south-1',
  'version'           => '2011-06-15',
  'signature_version' => 'v4',
  'credentials'       => $credentials,
];

$stsClient = new StsClient($stsoptions);
$response = $stsClient->getSessionToken();

问题

目前，IAM用户完全可以访问相应的桶。我希望将临时凭据访问仅限于某些授权。像只有上传的权限，而不是删除文件或列出所有文件。

我可以向StsClient传递一个附加参数吗?在这里，我可以限制对桶的权限？

编辑1

通过策略为用户分配权限。下面是添加到策略中的权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucketByTags",
                "s3:GetBucketTagging",
                "s3:DeleteObjectVersion",
                "s3:GetObjectVersionTagging",
                "s3:ListBucketVersions",
                "s3:GetBucketLogging",
                "s3:RestoreObject",
                "s3:ListBucket",
                "s3:GetAccelerateConfiguration",
                "s3:GetObjectAcl",
                "s3:AbortMultipartUpload",
                "s3:GetObjectVersionAcl",
                "s3:GetObjectTagging",
                "s3:GetMetricsConfiguration",
                "s3:PutObjectTagging",
                "s3:DeleteObject",
                "s3:PutBucketVersioning",
                "s3:GetIpConfiguration",
                "s3:DeleteObjectTagging",
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketWebsite",
                "s3:PutObjectVersionTagging",
                "s3:DeleteObjectVersionTagging",
                "s3:GetBucketVersioning",
                "s3:GetBucketAcl",
                "s3:GetReplicationConfiguration",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetBucketCORS",
                "s3:GetAnalyticsConfiguration",
                "s3:GetObjectVersionForReplication",
                "s3:GetBucketLocation",
                "s3:ReplicateDelete",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::aws:s3:::mybucket",
                "arn:aws:s3:::*/*"
            ]
        }
    ]
}

我的解决方案基于被接受的答案.

根据答复中的建议，增加了许可

 {
        "Sid": "VisualEditor1",
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": "*"
 }

现在我的PHP代码是

$policy = '{
  "Id": "Policy1534086947311",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1534086676951",
      "Action": [
        "s3:PutObject",
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::mybucket"
      }
    }
  ]
}';

$awsrole = [
  'Policy' => $policy,
  'RoleArn' => 'arn:aws:s3:::mybucket',
  'RoleSessionName' => 'credApi' // just a random value
];
$response = $stsClient->assumeRole($awsrole);

amazon-web-services

amazon-s3

amazon-iam

aws-sts

php

回答 1

Stack Overflow用户

回答已采纳

发布于 2018-08-12 15:28:59

创建一个具有更严格权限的IAM角色，然后使用您的IAM用户凭据调用AssumeRole以获得临时凭据。IAM角色将只允许s3:PutObject*到相关的桶。IAM用户需要权限来承担这个角色。

或者让您的服务器生成一个预签名的URL，以便上传到相关的S3桶中的对象。客户端将无法在任何其他S3操作中使用该URL。

票数 2

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/51809824

复制

相似问题

问AWS使用getSessionToken限制对临时凭据的访问
EN

回答 1

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问AWS使用getSessionToken限制对临时凭据的访问EN

回答 1

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问AWS使用getSessionToken限制对临时凭据的访问
EN