gpt4 book ai didi

amazon-web-services - 禁用 AWS S3 管理控制台

转载 作者:行者123 更新时间:2023-12-04 09:30:57 25 4
gpt4 key购买 nike

出于安全原因,是否可以禁用 AWS S3 管理控制台?
我们不希望包括 root/admin 用户在内的任何人直接从 AWS S3 访问客户文件。我们应该只对存储在 S3 中的文件进行编程访问。
如果这是不可能的,是否可以停止为所有用户列出存储桶内的目录?

最佳答案

这是一个棘手的实现,但是以下应该能够满足要求。
仅限程序访问
您需要准确定义哪些操作应该被拒绝,您不想完全阻止访问,否则您可能会失去做任何事情的能力。
如果您在 AWS 中,则应使用 IAM 角色和 VPC 终端节点连接到 S3 服务。这两者都支持在 S3 存储桶存储桶策略中控制访问的能力。
您可以使用它来拒绝源为 not the VPC endpoint 的 List* 操作。 .您也可以 deny where its not a specific subset of roles .
这适用于所有编程用例以及从控制台以 IAM 用户身份登录的人员,但是此 拒绝对 root 用户的访问。
还请记住,对于他们无权访问的任何 IAM 用户/IAM 角色,除非您通过 IAM 策略明确授予他们。
拒绝访问根用户
目前只有一种方法可以拒绝访问 AWS 账户的根用户(尽管您应该与任何人共享这些凭证,即使是在您的公司内),因为它使用服务控制策略。
为此,该账户需要是 AWS 组织的一部分(作为组织单位)。如果/一旦是,您将创建一个 denies access to the root principal for the specific actions that you want 的 SCP .
此政策的一个例子是

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RestrictS3ForRoot",
"Effect": "Deny",
"Action": [
"s3:List*"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:root"
]
}
}
}
]
}

关于amazon-web-services - 禁用 AWS S3 管理控制台,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62846119/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com