Mit den Security Credentials des S3-Kontos ist es möglich auf alle Buckets zuzugreifen, die dem Konto zugeordnet sind sowie neue Buckets zu erstellen.
Jedoch ist es möglich, Mittels IAM separate Access Keys zu erstellen, die auf einen oder eine Gruppe von Buckets beschränkt sind.
Vorgehen:
- Erstellen Sie unter "IAM" -> "IAM User" einen neuen Nutzer. Bei "User Name" kann ein beliebiger Name eintragen werden, "Path" muss auf / gesetzt sein.
- Klicken sie auf den neuen User und wechseln in den "IAM Policies"-Tab.
- Erstellen Sie dort eine "Inline Policy". Bei Klick auf das "Policy Document" öffnet sich ein Editor. Tragen Sie im "JSON"-Tab den Text aus dem Codefeld unten ein.
- Im tab "IAM Access Key" können nun neue Access Keys erstellt werden. Diese werden nur Zugriff auf den Bucket namens
beispielhaben.
IAM-Policy:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": ["s3:ListAllMyBuckets"],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "s3:*",
"Resource": ["arn:aws:s3:::beispiel","arn:aws:s3:::beispiel/*"]
}
]
}
Diese Policy erlaubt dem verbundenen User alle Buckets aufzulisten sowie jegliche S3-Operationen auf dem Bucket beispiel (arn:aws:s3:::beispiel) sowie allen darunter liegenden Objekten (arn:aws:s3:::beispiel/*).
Für weiterführende Informationen zur Funktionsweise und Möglichkeiten von IAM konsultieren Sie die Amazon-Dokumentation: https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html