Политики доступа в хранилище S3

    Политики доступа — это правила, которые определяют, кто может взаимодействовать с данными и каким образом. С их помощью вы можете управлять доступом к бакетам, объектам и группам объектов: разрешать или запрещать чтение, запись, удаление и другие действия. Политики позволяют точно настроить права для пользователей, сервисов и приложений, при этом учитываются условия, такие как источник запроса или используемые протоколы.

    Политики доступа срабатывают тогда, когда пользователь или сервис обращается к ресурсу, например, пытается загрузить файл в бакет. В этот момент система проверяет все политики, которые могут применяться к этому запросу. Каждая политика содержит правила доступа: к какому ресурсу она относится, какие действия разрешены или запрещены, кому именно дается разрешение и в каких случаях. S3 обрабатывает все применимые политики и принимает решение — разрешить или отклонить запрос. Если ни одна из политик явно не разрешает действие, доступ по умолчанию считается запрещенным.

    Как изменить тип доступа к объектам

    • 1
      Войдите в панель управления Рег.облака.
    • 2
      Нажмите Хранилище S3.
    • 3
      Кликните на название бакета, для которого нужно добавить политику доступа.
    • 4
      Перейдите на вкладку Политика доступа.
    • 5

      В блоке Тип доступа нажмите на карандаш:

      Политики доступа в хранилище S3 1

    • 6

      Выберите подходящий тип доступа:

      • По ключам — требует аутентификации парой Access Key ID/Secret Key,
      • Открыт для всех — позволяет скачивать объекты по URL без авторизации.

      Пользовательский тип доступа устанавливается автоматически, если в политике заданы собственные правила доступа.

      Обратите внимание

      При изменении типа доступа все политики безвозвратно удалятся.

    • 7
      Нажмите Изменить.

    Как добавить правило политики доступа

    • 1
      Войдите в панель управления Рег.облака.
    • 2
      Нажмите Хранилище S3.
    • 3
      Кликните на название бакета, для которого нужно добавить политику доступа.
    • 4
      Перейдите на вкладку Политика доступа.
    • 5
      Нажмите Добавить правило.
    • 6
      Заполните поля:
    • Название — укажите название политики доступа;
    • Тип правила — выберите подходящий тип правила;
    • Ключи доступа — в выпадающем списке выберите нужный набор ключей доступа;
    • Действия — в выпадающем списке выберите подходящую категорию действий: Чтение, Чтение и запись, Все действия или Пользовательский набор действий. Если вы выбираете пользовательский набор действий, в выпадающем списке ниже отметьте нужные действия;
    Список возможных действий
    Действие
    Описание
    AbortMultipartUpload
    Дает право на прерывание multipart загрузки
    DeleteBucketPolicy
    Дает право на удаление политики бакета
    DeleteBucket
    Дает право на удаление бакета
    DeleteBucketWebsite
    Дает право на удаление конфигурации сайта для бакета
    DeleteObject
    Дает право на удаление объекта
    DeleteObjectVersion
    Дает право на удаление определенной версии объекта
    GetObjectAcl
    Дает право на получение ACL объекта
    GetAccelerateConfiguration
    Дает право на получение информации о конфигурации ускорения передачи данных для бакета
    GetBucketAcl
    Дает право на получение ACL бакета
    GetBucketCORS
    Дает право на получение конфигурации CORS бакета
    GetBucketLocation
    Дает право на получение информации о регионе размещения бакета
    GetBucketLogging
    Дает право на получение конфигурации логирования бакета
    GetBucketPolicy
    Дает право на получение политики бакета
    GetBucketTagging
    Дает право на получение тегов бакета
    GetBucketVersioning
    Дает право на получение информации о состоянии управления версиями бакета
    GetBucketWebsite
    Дает право на получение конфигурации сайта бакета
    GetLifecycleConfiguration
    Дает право на получение конфигурации жизненного цикла бакета
    GetObject
    Дает право на получение объекта
    GetObjectTorrent
    Дает право на получение торрент-файла для объекта
    GetObjectVersionAcl
    Дает право на получение ACL определенной версии объекта
    GetObjectVersion
    Дает право на получение определенной версии объекта
    GetObjectVersionTorrent
    Дает право на получение торрент-файла для определенной версии объекта
    ListAllMyBuckets
    Дает право на получение списка всех бакетов пользователя
    ListBucketMultipartUploads
    Дает право на получение списка multipart загрузок в бакете
    ListBucket
    Дает право на получение списка объектов в бакете
    ListBucketVersions
    Дает право на получение списка версий объектов в бакете
    ListMultipartUploadParts
    Дает право на получение списка частей multipart загрузки
    PutAccelerateConfiguration
    Дает право на установку конфигурации ускорения передачи данных для бакета
    PutBucketAcl
    Дает право на установку ACL для бакета
    PutBucketCORS
    Дает право на установку конфигурации CORS бакета
    PutBucketLogging
    Дает право на установку конфигурации логирования бакета
    PutBucketNotification
    Дает право на установку конфигурации уведомлений бакета
    PutBucketPolicy
    Дает право на установку политики бакета
    PutBucketTagging
    Дает право на установку тегов бакета
    PutBucketVersioning
    Дает право на включение и выключение версионирования бакета
    PutBucketWebsite
    Дает право на установку конфигурации сайта бакета
    PutLifecycleConfiguration
    Дает право на установку конфигурации жизненного цикла бакета
    PutObjectAcl
    Дает право на установку ACL для объекта
    PutObject
    Дает право на загрузку объекта
    PutObjectVersionAcl
    Дает право на установку ACL для определенной версии объекта
    RestoreObject
    Дает право на восстановление объекта из архива

    — Область действия — укажите область действия правила. Областью действия может быть бакет (<bucket-name>), объект в бакете (<bucket-name>/some/key), префикс (<bucket-name>/some/path/*), а также пустой префикс для обозначения всех объектов в бакете (<bucket-name>/*). В правило можно добавить несколько областей действия.

    Обратите внимание

    • Если создать политику с областью действия <bucket-name>/ (со слешем на конце), политика не применяется к бакету;
    • если указать в качестве области действия бакет, то это не означает, что правило будет относиться ко всем его объектам. Чтобы правило относилось к бакету и объектам в бакете, добавьте их как отдельные области действия, например, bucket-name и bucket-name/*.

    • 7
      Если для выполнения правила необходимо условие, нажмите Добавить условие.
    • 8
      Заполните поля:
    • Ключ — в выпадающем списке выберите ключ условия;
    Список доступных ключей условия
    Ключ условия
    Описание
    aws:CurrentTime
    Сравнивает дату и время запроса со значением, указанным в условии
    aws:Referer
    Сравнивает заголовок Referer в запросе со значением, указанным в условии
    aws:PrincipalType
    Задает тип сущности, к которой делается запрос
    aws:SecureTransport
    Проверяет, был ли запрос отправлен с использованием шифрования SSL/TLS
    aws:SourceIp
    Сравнивает IP-адрес из запроса со значением из условия
    aws:UserAgent
    Сравнивает UserAgent из запроса со значением из условия
    aws:userid
    Сравнивает идентификатор пользователя со значением из условия
    aws:username
    Сравнивает имя пользователя со значением из условия
    s3:authType
    Ограничивает входящие запросы методом аутентификации, указанным в условии
    s3:delimiter
    Задает разделитель, который должны включать запросы пользователей
    s3:max-keys
    Задает максимальное количество ключей, возвращаемых на запрос ListBucket
    s3:prefix
    Ограничивает доступ по префиксу в имени ключа
    s3:signatureAge
    Определяет время действия подписи в запросе аутентификации (в миллисекундах)
    s3:signatureversion
    Задает версию подписи AWS для запросов аутентификации
    s3:versionid
    Задает доступ к определенной версии объекта
    s3:x-amz-content-sha256
    Запрещает неподписанное содержимое в запросе
    s3:x-amz-copy-source
    Ограничивает источник копирования определенным контейнером, префиксом или объектом
    s3:x-amz-metadata-directive
    Задает принудительный выбор копирования или замены при копировании объектов
    s3:x-amz-server-side-encryption
    Требует шифрования на стороне сервера
    s3:x-amz-storage-class
    Ограничивает доступ по классу хранилища

    — Оператор — в списке выберите нужный оператор условия;

    Операторы условия

    Операторы условия используются для сравнения значения ключа в условии политики со значением, указанным в запросе.

    Числовые операторы

    Число из запроса сравнивается с числом, указанным в условии.

    Оператор условия
    Описание
    NumericEquals
    Значение равно заданному в условии
    NumericGreaterThan
    Значение больше заданного в условии
    NumericGreaterThanEquals
    Значение больше или равно заданному в условии
    NumericLessThan
    Значение меньше заданного в условии
    NumericLessThanEquals
    Значение меньше или равно заданному в условии
    NumericNotEquals
    Значение не равно заданному в условии

    Строковые операторы

    Строка из запроса сравнивается со строкой, указанной в условии.

    Оператор условия
    Описание
    StringEquals
    Значение соответствует заданному в условии (с учетом регистра)
    StringEqualsIgnoreCase
    Значение соответствует заданному в условии (без учета регистра)
    StringLike
    Значение соответствует шаблону, заданному в условии. Используйте * для подстановки нескольких символов и ? для подстановки одного символа
    StringNotEquals
    Значение не соответствует заданному в условии (с учетом регистра)
    StringNotEqualsIgnoreCase
    Значение не соответствует заданному в условии (без учета регистра)
    StringNotLike
    Значение не соответствует заданному в условии шаблону. Используйте * для подстановки нескольких символов и ? для подстановки одного символа

    Операторы даты и времени

    Дата и время из запроса сравнивается с датой и временем, указанными в условии.

    Оператор условия
    Описание
    DateEquals
    Соответствует заданной дате
    DateGreaterThan
    Соответствует дате позже, чем заданная
    DateGreaterThanEquals
    Соответствует заданной дате или дате позже
    DateLessThan
    Соответствует дате раньше, чем заданная
    DateLessThanEquals
    Соответствует заданной дате или дате раньше
    DateNotEquals
    Не соответствует заданной дате

    Операторы IP-адресов

    IP-адрес в формате CIDR из запроса сравнивается с IP-адресом из условия

    Оператор условия
    Описание
    IpAddress
    Значение ключа соответствует заданному IP-адресу или входит в диапазон адресов
    NotIpAddress
    Значение ключа не соответствует заданному IP-адресу или не входит в диапазон адресов

    Оператор Bool

    Оператор Bool сравнивает логическое значение из запроса (true или false) со значением из ключа. Условие удовлетворяется, если значение из запроса соответствует значению из условия.

    Оператор IfExists

    Оператор IfExists позволяет смягчить условие в случае, если указанный в условии ключ отсутствует в запросе.

    IfExists можно использовать только совместно с другими операторами (кроме Null). Формат добавления: <имя оператора>IfExists. Пример: StringEqualsIfExists.

    Тип данных соответствует типу данных оператора, к которому добавляется IfExists. Удовлетворение условия с IfExists зависит от того, присутствует ли ключ из запроса в условии:

    • если ключ присутствует, условие обрабатывается по правилам оператора, с которым использовался IfExists, и может принять значение true или false;
    • если ключ отсутствует, условие принимает значение true.

    Оператор Null

    Оператор Null проверяет наличие ключа из запроса в условии.

    Тип данных — boolean.

    Условие с оператором Null принимает значение true:

    • если в запросе отсутствует ключ из условия;
    • если ключ присутствует в запросе, но его значение не указано.

    Если ключ присутствует и его значение задано, условие принимает значение false.

    • Значение — укажите значение условия. Если вам нужно указать несколько значений, нажмите Добавить еще одно значение.
    • 9
      Нажмите кнопку Добавить.
    • 10
      Нажмите Добавить правило.

    Как посмотреть заданное правило

    • 1
      Войдите в панель управления Рег.облака.
    • 2
      Нажмите Хранилище S3.
    • 3
      Кликните на название бакета, для которого нужно добавить политику доступа.
    • 4
      Перейдите на вкладку Политика доступа.
    • 5
      В блоке Правило доступа кликните на название нужного правила.

    Готово, вы увидите страницу с параметрами и условиями правила.

    Как отредактировать правило

    • 1
      Войдите в панель управления Рег.облака.
    • 2
      Нажмите Хранилище S3.
    • 3
      Кликните на название бакета, для которого нужно добавить политику доступа.
    • 4
      Перейдите на вкладку Политика доступа.
    • 5

      В блоке Правило доступа напротив нужного правила нажмите на 3 точки > Редактировать правило:

      Политики доступа в хранилище S3 2

    • 6
      Отредактируйте необходимые поля.
    • 7
      Нажмите Сохранить.

    Как удалить правило

    • 1
      Войдите в панель управления Рег.облака.
    • 2
      Нажмите Хранилище S3.
    • 3
      Кликните на название бакета, для которого нужно добавить политику доступа.
    • 4
      Перейдите на вкладку Политика доступа.
    • 5

      В блоке Правило доступа напротив нужного правила нажмите на 3 точки > Удалить правило:

      Политики доступа в хранилище S3 3

    • 6
      Нажмите кнопку Удалить.

    Помогла ли вам статья?

    Спасибо за оценку. Рады помочь 😊

     👍
    Специальные предложения