Bucket Policies в S3

Бесплатная миграция IT-инфраструктуры в облако

Облачные сервисы

Облачные базы данных
Хранилище S3
- Обзор
- Тарификация S3
- Работа с хранилищем
- Инструменты
  - Обзор
  - AWS CLI
  - Cyberduck
  - Rclone
  - S3 Browser
  - S3cmd
  - s3fs
- Сценарии использования
- Поддерживаемые возможности
Kubernetes
- Обзор
- Создание кластера
- Управление кластером
- Подключение к кластеру
  - Обзор
  - kubectl
  - Lens
- Балансировщик нагрузки Kubernetes
- Автомасштабирование Kubernetes
- Использование Helm
- Создание Helm-чарта
- Сетевые плагины (CNI)
- Дополнения (аддоны)
- CSI S3
Apps
- Обзор
- Принципы работы
- Подключение репозиториев
- Деплой frontend-приложений
  - Обзор
  - Angular
  - Ember
  - Next.js
  - Nuxt
  - Preact
  - React
  - Svelte
  - Vue
  - Другой JS-фреймворк
- Деплой backend-приложений
- Деплой из Dockerfile
- Управление Apps в панели
- Частые вопросы об Apps
- Добавление VCS-провайдеров через API

Возможности управления доступом к данным в хранилищах S3 позволяют гибко настраивать правила доступа для различных сценариев. Рассмотрим несколько полезных примеров настройки политик доступа для S3.

Ограничение доступа только через SSL (HTTPS)

Чтобы обезопасить передачу данных, можно ограничить доступ к бакету, разрешив только HTTPS-соединения. Это предотвращает попытки получить доступ через незащищенные HTTP-запросы, снижая риск компрометации данных.

Создайте файл с политикой ssl.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::<имя_бакета>/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

Примените политику с помощью команды:

aws s3api put-bucket-policy --bucket <имя_бакета> --policy file://ssl.json --endpoint-url https://s3.timeweb.cloud

Теперь, при попытке обращения по HTTP будет возникать ошибка 403.

Ограничение доступа по IP-адресам

Для дополнительной безопасности можно ограничить доступ к бакету только для определенных IP-адресов. Это может быть полезно, например, для защиты данных от несанкционированного доступа извне.

Создайте файл с политикой ip.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::<имя_бакета>/*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "<IP-адрес>"
                    ]
                }
            }
        }
    ]
}

Примените политику с помощью команды:

aws s3api put-bucket-policy --bucket <имя_бакета> --policy file://ip.json --endpoint-url https://s3.timeweb.cloud

Доступ только для конкретного префикса

Если вам нужно дать доступ к определенным объектам в бакете, например, к файлам, находящимся в конкретном префиксе, можно использовать следующую политику. Она подойдет для приватного бакета, чтобы предоставить доступ только к определенным данным.

Создайте файл с политикой prefix.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::<имя_бакета>/html/*"
        }
    ]
}

Примените политику с помощью команды:

aws s3api put-bucket-policy --bucket <имя_бакета> --policy file://prefix.json --endpoint-url https://s3.timeweb.cloud

Теперь все файлы из префикса /html будут доступны для чтения.

Была ли статья полезна?

Ваша оценка очень важна

Пока нет комментариев

Облачные сервисы

Bucket Policies в S3

Ограничение доступа только через SSL (HTTPS)

Ограничение доступа по IP-адресам

Доступ только для конкретного префикса

Была ли статья полезна?

Сервисы

Решения

Инструменты

Партнерам

Техподдержка

Компания