当前位置:主页 > 高防服务器 >

高防御cdn_ddos高防ip是什么_

时间:2020-11-07 09:23来源:E度网络 作者:E度网络 点击:

IAM策略、Bucket策略和acl!哦,天哪!(控制对S3资源的访问)

更新日期:2019年1月8日:根据客户反馈,我们更新了"S3 ACL如何?"明确权限管理。在前面的文章中,我们已经解释了如何为控制台编写S3策略,以及如何使用策略变量授予对特定于用户的S3文件夹的访问权。本周我们将讨论另一个经常被问到的话题:IAM策略、S3 bucket策略、s3acl之间的区别,以及何时使用它们。它们都是AWS访问控制工具箱的一部分,但它们的使用方式有所不同。IAM策略与S3 bucket策略IAM策略指定在哪些AWS资源上允许或拒绝哪些操作(例如,cc策略防御软件,允许ec2:实例为i-8b3620ec的ec2实例上的TerminateInstance)。将IAM策略附加到IAM用户、组或角色,这些用户、组或角色将受您定义的权限的约束。换句话说,IAM策略定义了主体在AWS环境中可以做什么。另一方面,S3 bucket策略只附加到S3 bucket。S3 bucket策略指定bucket策略附加到bucket上的主体允许或拒绝哪些操作(例如,允许用户Alice放置但不删除bucket中的对象)。S3 bucket策略是一种访问控制列表或ACL(这里我指的是一般意义上的"ACL",不要与s3acl混淆,后者是本文后面讨论的一个单独的S3特性)。注意:您在bucket级别附加S3 bucket策略(即您不能将bucket策略附加到S3对象),但是bucket策略中指定的权限适用于bucket中的所有对象。IAM策略和S3 bucket策略都用于访问控制,它们都是使用AWS访问策略语言用JSON编写的,因此可能会混淆。让我们看看每种类型的示例策略:示例S3存储桶策略此S3 bucket策略允许根帐户111122223333和该帐户下的IAM用户Alice对名为"my_bucket"的bucket以及该bucket的内容执行任何S3操作。{"Version":"2012-10-17","声明":[{"Effect":"允许","委托人":{"AWS":阿恩:美国焊接学会:iam::111122223333:用户/Alice","阿恩:美国焊接学会:iam::111122223333:根"]},"Action":"s3:*","资源":阿恩:美国焊接学会:s3:::我的存储桶","阿恩:美国焊接学会:s3:::我的存储桶/*"]}]}IAM策略示例此IAM策略授予其附加到的IAM实体(用户、组或角色)对名为"my_bucket"的bucket以及该bucket的内容执行任何S3操作的权限。{"Version":"2012-10-17","声明":[{"Effect":"允许","Action":"s3:*","资源":阿恩:美国焊接学会:s3:::我的存储桶","阿恩:美国焊接学会:s3:::我的存储桶/*"]}]}注意,S3 bucket策略包含一个"Principal"元素,该元素列出bucket策略控制访问的主体。"主体"元素在IAM策略中是不必要的,因为主体在默认情况下是IAM策略附加到的实体。S3 bucket策略(顾名思义)只控制对S3资源的访问,防御ddos攻击的防火墙,而IAM策略几乎可以指定任何AWS操作。AWS的一个优点是,您实际上可以同时应用IAM策略和S3 bucket策略,最终授权是所有权限中权限最小的联合(下面标题为"授权如何与多个访问控制机制一起工作?")的一节对此做了详细说明。何时使用IAM策略与S3策略如果出现以下情况,请使用IAM策略:您需要控制对除S3之外的AWS服务的访问。IAM策略将更易于管理,因为您可以集中管理IAM中的所有权限,cc攻击防御工具,而不是在IAM和S3之间分散它们。您有许多具有不同权限要求的S3存储桶。IAM策略将更易于管理,因为您不必定义大量的S3 bucket策略,而是可以依赖更少、更详细的IAM策略。您希望在IAM环境中保留访问控制策略。如果出现以下情况,免费的ddos防御工具,请使用S3 bucket策略:您需要一种简单的方法来授予对S3环境的跨帐户访问权,而不使用IAM角色。您的IAM策略超出了大小限制(用户最多2 kb,组最多5 kb,角色最多10 kb)。S3支持高达20kb的bucket策略。您更喜欢在S3环境中保留访问控制策略。如果您仍然不确定使用哪种方法,请考虑哪个审核问题对您最重要:如果你更感兴趣的是"这个用户在AWS中能做什么?"那么,IAM的政策可能是一条路要走。您可以通过查找IAM用户,然后检查他们的IAM策略以查看他们拥有哪些权限来轻松回答此问题。如果您更感兴趣的是"谁可以访问这个S3 bucket?"那么S3 bucket策略可能更适合您。通过查找bucket并检查bucket策略,您可以轻松地回答这个问题。无论您选择哪种方法,我们建议您尽可能保持一致。随着IAM策略和S3 bucket策略数量的增加,审核权限变得更具挑战性。s3acl呢?作为一般规则,AWS建议使用S3 bucket策略或IAM策略进行访问控制。S3 ACLs是一种早于IAM的传统访问控制机制。但是,如果您已经使用了s3acl,并且您发现这些acl已经足够了,则无需更改。S3 ACL是附加到每个S3 bucket和对象的子资源。它定义了哪些AWS帐户或组被授予访问权限和访问类型。创建bucket或对象时,Amazon S3会创建一个默认ACL,授予资源所有者对资源的完全控制权。您可以将s3acl附加到bucket中的各个对象,以管理这些对象的权限。S3 bucket策略和IAM策略通过在策略语句的Resource元素中提供这些对象来定义对象级权限。语句将应用于bucket中的那些对象。将特定于对象的权限合并到一个策略(而不是多个s3acl)中,可以更简单地确定用户和角色的有效权限。授权如何与多个访问控制机制一起工作?每当AWS主体向S3发出请求时,授权决策取决于所有应用的IAM策略、S3 bucket策略和s3acl的联合。根据最小特权原则,决定默认拒绝,明确拒绝总是胜过允许。例如,如果IAM策略授予对某个对象的访问权,S3 bucket策略拒绝对该对象的访问,并且没有S3 ACL,高防cdn网站还会被打吗,则访问将被拒绝。类似地,如果没有方法指定允许,那么默认情况下请求将被拒绝。只有当没有方法指定拒绝并且一个或多个方法指定允许时,才允许请求。此图说明了授权过程。我们希望这篇文章澄清了一些关于控制对S3环境的访问的各种方法的混乱。额外资源IAM策略文档S3 bucket策略文档S3 ACLs文档――赵凯想要更多的AWS安全操作内容、新闻和功能声明吗?在推特上关注我们。

推荐文章
最近更新