S3 存储桶策略

最新推荐文章于 2025-07-10 00:27:54 发布
原创 最新推荐文章于 2025-07-10 00:27:54 发布 · 533 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ceph

本文展示了如何配置AWSS3存储桶的访问策略,包括向所有人授予公共读取权限,限制特定IP地址的完全访问,防止热链接以及设定只允许特定IP写入而公开读取的规则。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通用策略

向匿名用户(即所有人)授予公共读取权限

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "AllowPublicRead",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::my-brand-new-bucket/*"
      ]
    }
  ]
}

从特定 IP 地址为用户授予完全访问权限。

{
  "Version": "2008-10-17",
  "Id": "S3PolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::my-brand-new-bucket/*",
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": "192.168.143.0/24"
        },
        "NotIpAddress": {
          "aws:SourceIp": "192.168.143.188/32"
        }
      }
    },
    {
      "Sid": "IPDeny",
      "Effect": "Deny",
      "Principal": {
        "AWS": "*"
      },
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::my-brand-new-bucket/*",
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": "10.1.2.0/24"
        }
      }
    }
  ]
}

保护 s3 文件免受热链接的影响。

{
  "Version": "2008-10-17",
  "Id": "preventHotLinking",
  "Statement": [
    {
      "Sid": "1",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::my-brand-new-bucket/*",
      "Condition": {
        "StringLike": {
          "aws:Referer": [
            "http://yourwebsitename.com/*",
            "http://www.yourwebsitename.com/*"
          ]
        }
      }
    }
  ]
}

仅允许特定 IP 写入存储桶,并且每个人都从中读取。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::my-brand-new-bucket/*",
      "Condition": {
        
      }
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:PutObject",
        "s3:DeleteObject"
      ],
      "Resource": "arn:aws:s3:::my-brand-new-bucket/*",
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": "192.168.0.0/16"
        }
      }
    }
  ]
}
AWS 中 S3存储桶策略 ( S3 bucket policy )
shenghuiping2001的专栏
01-13 4566
今天开始aws 的认证考试: SAP, 上面有个题目是怎么控制S3 bucket 里面的资源不被另外一个VPC里面的EC2 实例使用,顺便学习了S3存储桶策略. 1: 先从创建一个存储桶 开始: 2: 然后开始编辑这个存储桶策略,发现原来这个S3 的设定是不公开的:(所以报错了) 3: 下面打开这个存储桶的权限: 4: 创建一个文件夹: testing, 并且上传一个文件,打开这个文件,看到这个文件的URL: 5:发现报错了,说没有权限: 6:把这个文件的权限打...
整改 S3 桶和 CloudFront 的访问控制策略
TechEnthusiast的博客
06-18 247
在一个项目中,我们发现了一个安全隐患:S3 桶和 CloudFront 的访问控制策略存在问题。
S3存储桶策略(S3 Bucket Policies)
iloveaws的博客
01-06 9437
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn 08-S3存储桶策略(S3 Bucket Policies) 【 Domain 1的组织复杂性设计(Design for Organizational Complexity)】——-S3存储桶策略(S3 Bucket Policies) Hello大家好,欢迎回...
AWS S3 存储桶 访问策略设置
qq_40200207的博客
07-18 659
最近在做项目的时候接触到了AWS S3 的操作,这里来记录下访问策略的写法。
【AWS入门】AWS S3存储桶策略之GetObjectversion
weixin_42161670的博客
03-23 635
验证GetObjectversion策略对访问S3存储桶对象的影响,首先s3存储桶开启版本控制,在向存储桶上传一个文件对象error.html后(通过web访问该链接正常访问),编辑本地文件,再次上传,当再次通过web访问原来的链接,还能成功访问吗?7. 可以通过更新文件前的链接访问修改后的版本。
存储桶列表访问权限_授予对 Amazon S3 存储桶中某些对象的公开取访问权限
weixin_33737167的博客
12-29 1314
如何授予对 Amazon S3 存储桶中某些对象的公开取访问权限?上次更新日期:2020 年 10 月 20 日我希望可以公开取我的 Amazon Simple Storage Service (Amazon S3) 存储桶中的某些对象。但是,我不希望更改对同一存储桶中其他对象的权限。该如何操作?简短描述通过以下方式之一启用公开取访问权限:使用 Amazon S3 控制台更新对象的访问控制列...
AWS S3策略配置详解与实例分析
最新发布
m0_74337424的博客
07-10 22
本文介绍了AWS S3存储桶策略配置的关键要点,重点解析了多动作策略配置中的常见错误。通过实例说明在配置允许对象取但禁止删除桶的策略时,如何正确处理DeleteBucket操作的资源路径问题(应指向桶而非对象)。文章指出,策略配置必须精准匹配操作类型与资源路径,并提供了修正后的正确JSON策略示例。该案例有助于开发者理解S3策略的语法规则,确保数据访问安全性和策略有效性。
云原生安全:错误策略S3存储桶ACL设置为Everyone:FullControl
like21a的博客
05-19 1343
S3存储桶的配置是云原生环境中典型的高危错误,需通过权限最小化、自动化检测和加密手段综合防御。企业应建立从开发到运维的全生命周期安全管控,结合工具链实现“安全左移”,避免因配置疏漏导致的灾难性后果。扩展阅• AWS官方文档《S3安全最佳实践》• 云原生安全框架4C模型(Cloud、Cluster、Container、Code)🚧 您已阅完全文99%!缺少1%的关键操作:加入「炎码燃料仓」🚀 获得:√ 开源工具红黑榜 √ 项目落地避坑指南√ 每周BUG修复进度+1%彩蛋。
存储桶策略
zuxinya的博客
09-08 344
条件键来指定可以在哪个前缀中列出存储桶。以下语句提供了我们需要的存储桶级别权限。导航到 AWS IAM 服务 1。单击 “策略” 1。找到并选择 “syslogs3AccessPolicy” 策略 1。) 资源字符串),而不是存储桶本身。以下语句为我们提供了在 2022 年 4 月获取对象所需的权限。对于对象级语句,我们需要使用单独的语句,因为我们在作用域中有不同的资源(存储桶中的对象,即 (要允许发布存储桶,我们需要使用。
【Amazon S3】基于S3存储桶创建生命周期规则自动定期删除备份文件
宝耶需努力的技术分享博客
07-17 2102
基于S3存储桶创建生命周期规则自动定期删除备份文件
[AWS][安全] S3存储桶策略-Bucket Policy
栗子哥的云计算博客
06-19 5392
在上一个实验”IAM 策略”中,我们了解到可以对 IAM 用户赋予一些策略,使这些用户只能 对特定的资源赋予特定的权限,以及在策略中,我们也可以通过变量的方式动态控制每一 个 IAM 用户的策略。但在某些场景下,我们需要对某些资源赋予权限,比如有一个 S3 存 储桶,我们想要把这个存储桶/存储桶中的对象 共享给某一个 AWS 账号,或者某一个 AWS 账号下的 IAM 用户,在这种情况下,我们需要创建基于资源的策略。 S3 存储桶策略和 IAM 用户策略看起来很相似,都是通过 JSON 来进行定义。不同的是
S3:访问策略控制
ql_gome的博客
11-29 859
CannedAccessControlList.AwsExecRead:允许AWS Lambda执行角色取对象。CannedAccessControlList.AuthenticatedRead:允许已认证的用户取对象。CannedAccessControlList.AllUsersRead:允许所有用户取对象。CannedAccessControlList.PublicRead:允许所有用户取对象。CannedAccessControlList.Private:仅允许拥有者取和写入对象。
AWS入门实践-S3生命周期管理
weixin_39108752的博客
04-03 1172
Amazon S3的生命周期管理是一个强大的功能,它允许你自动管理对象的生命周期,从而优化存储成本并自动删除不再需要的数据。它允许您定义一组规则,根据对象的age(存在时间)、前缀(文件夹路径)或标签等条件,自动转移对象到其他存储类别或删除对象。让我们详细了解一下
SpringBoot 整合 Amazon s3 保姆级
AJie_520的博客
11-11 5738
备注:以下操作基于您已有AWS账户;需要获取:存储桶名称、所选区域、密钥ID和密钥;
S3设置公共
dream_snow2012的专栏
11-26 2253
1.引入jar <!-- 亚马逊S3文件服务 --> <dependency> <groupId>software.amazon.awssdk</groupId> <artifactId>s3</artifactId> <version>2.15.20</version> </dependency&g
Minio 教程 - Minio 之权限控制策略
qq_33240556的博客
05-14 4773
对于更细粒度的控制,可以创建自定义IAM策略。自定义策略允许你针对特定的存储桶或者对象,甚至是操作(如上传、下载、删除等)设置权限。策略以JSON格式编写,包含一组声明(Statements),每个声明定义了哪些主体(Principal)、在什么条件下(Condition)、对哪些资源(Resource)拥有何种权限(Action)。
Amazon S3 存储桶上设置公共访问权限
qq_47415017的博客
04-19 2600
Amazon S3 存储桶上设置公共访问权限。
AWS 创建S3存储桶生命周期规则
SINGWIN01的博客
12-29 1398
该值必须大于 0 字节且不超过 5TB。您可以以字节、KB、MB 或 GB 为单位指定此值。如果规则没有任何错误,Amazon S3 会启用它,并且您可以在。当指定这两个对象时,最大对象大小必须大于最小对象大小。
Minio 配置访问权限
热门推荐
weixin_42555971的博客
02-04 1万+
minio 访问权限
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值