AWS S3 跨账户访问 Cross Account Access

AWS S3跨账户访问设置方法
原创 于 2025-01-17 11:18:21 发布 · 588 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#aws #云计算

进入S3对应的存储桶,上面选项选权限,存储桶策略 -- 编辑,输入对应的policy。

完全控制,包含上传删除权限,policy如下:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "cross",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789:root"
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ]
        }
    ]
}

只读权限policy:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789:root"
            },
            "Action": "S3:ListBucket",
            "Resource": "arn:aws:s3:::bucket",
            "Condition": {}
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789:root"
            },
最低0.47元/天 解锁文章
SpringCloud AWS S3 对象存储
AI天才研究院
07-30 2369
Spring Cloud为开发人员提供了快速构建分布式系统的一些工具,其中包括配置管理、服务发现、消息总线等等。在云计算、容器化和微服务的大环境下,Spring Cloud提供了一些基础设施来支持快速部署应用程序。对于存储服务,Spring Cloud AWS 提供了AWS S3对象存储的集成实现。本文将介绍如何通过 Spring Boot 和 Spring Cloud 来实现对 AWS S3 的对象存储功能。首先,让我们回顾一下什么是S3
AWS S3存储桶账户数据同步
weixin_45047200的博客
01-11 279
AWS账户免费套餐过期需要将S3相关资源迁移至新AWS账户的相关操作。这也是个很常见的场景。
账号访问权限(Cross Account Access
weixin_42230010的博客
03-14 924
很多AWS客户都会管理多个不同的AWS账号,比如之前提到的不同的开发环境、测试环境、生产环境等都各分配不同的账号。这样子他们可以对不同类型的账号赋予不同等级和类型的权限,可以在账号和权限的安全性上有更好的控制。那么一般情况下,一个开发者使用开发环境做了一些变更后希望登录到测试环境去做一些系统的测试,那么他必须注销他的账号,然后使用另外的用户名密码登录到测试账号。这样的复杂操作有时候对开发来说简直是个噩梦。有了。
AWS账户访问S3存储桶的6种方式
mmqgirlfriend的博客
11-14 1512
S3存储桶账户访问的几种方式
配置账户S3存储桶的访问
BAStriver的博客
01-27 1666
将S3存储桶的访问权限授予属于不同aws帐户的委托人,在很多组织的AWS架构中非常常见。我们知道,创建的S3存储桶默认情况下是私有的,任何存储桶拥有者之外的账户都不能访问存储桶。在这种情况下,假设我们有两个aws账户bas和bas-developer,就需要使用存储桶策略来达成账户进行S3存储桶访问,也就是说bas创建存储桶策略,允许bas-developer访问存储桶。............
配置账户S3存储桶的访问Cross Account S3 Bucket Configuration)
iloveaws的博客
01-16 2478
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn 【 Domain 1的组织复杂性设计(Design for Organizational Complexity)】——-配置账户S3存储桶的访问Cross Account S3 Bucket Configuration) Hello大家好,欢迎回来,我...
AWS账号授权访问对方资源
王飞Vincent-Fei的AWS专栏
03-13 4437
假设A账号要控制B账号资源,但是B账号不想给A账号创建专用IAM用户,这是就可以用role来给A账号中的用户受临时权限。具体方案为: (1)    在B账号(被控制账号)中创建个角色,选择Role for Cross-Account Access,然后选择Provide access between AWS accounts you own,然后在Account ID里写上被授权账号,也就是A账号
[AWS] 账户S3存储桶的访问设置
futurismme的专栏
07-16 673
{ "Version": "2012-10-17", "Statement": [ { "Sid": "cross", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::256454142732:root" }, "Action": "s3:*", ...
AWS Account
我的学习成长日记
05-08 4708
AWS - Amazon Web Service。AWS是通过web service的方式提供服务的:用户使用浏览器,发送Http请求到AWS。 http://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html Every AWS account has 2 ID: 1, An AWS account ID -12-digi...
创建账户IAM角色访问(Creating Cross-Account IAM Roles)
iloveaws的博客
11-26 1555
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn 【 Domain 1的组织复杂性设计(Design for Organizational Complexity)】——创建账户IAM角色访问 AWS解决方案架构师认证 Professional / AWS Certified Solutions Archit...
AWS S3的使用
know yourself
03-16 1万+
这两天Web这边有一个功能需求,使用到了AWS 的S3服务,这个东西在国内访问很慢,所以,一般也少有人使用,我们的业务主要在美国,所以,使用这个服务还是非常好的。国内的阿里云做到了云计算的龙头,我还是希望AWS北京数据中心能够尽快的开放出来,从去年中就开始公测,现在依然也没有个信儿,国内的境外企业的管制可真是严格。希望两方的加快工作进度吧。亚马逊给出的SDK实在是很多,各种语言的都有,不愧是大厂。
AWS S3 三个常用的客户端软件使用方式Cloudberry, CyberDuck, S3Fox
热门推荐
数据之路
10-16 2万+
CloudBerry S3 Explorer Freeware http://www.cloudberrylab.com/free-amazon-s3-explorer-cloudfront-IAM.aspx Support OS: Microsoft Windows 1.   File -> Amazon S3 Account 2.  Add -> Enter Use
AWS EC2配置公网IP (Elastic IP)
数据之路
09-07 2万+
EC2机器launch后只有一个VPC内网IP,外网访问的话,需要设定公网IP,步骤如下: 选定Instance -> Action -> Networking -> Manage IP Address Allocate an Elastic IP Class -> Allocate, 这样就获取了一个IP 选定IP,然后Associate addres
配置AWS Simple EMail Service (SES)作SMTP服务器
数据之路
09-29 1万+
系统需要自动发邮件,之前只知道用外部邮箱的SMTP,看同事用SES觉得恰好符合我的要求,因此立即尝试配置了下,原来这么简单。AWS技术文档写得太多,其实搭建2步就完成了。 1. 登陆AWS进入SES服务,然后点击SMTP Settings,创建SMTP账户:Create My SMTP Credentials,按提示操作生成username and password,这个看起来类似IAM
用S3Browser对S3做数据同步
数据之路
09-25 5988
参考文档:https://s3browser.com/s3cmd.aspx#sync 首先下载安装S3 Browser, 然后添加S3账户信息 保存后试试看能否访问bucket及文件 成功后就可以开始写脚本,比较简单: s3browser-con.exe sync your-s3-broswer-account-name s3:bucket/folder/s
AWS上配置CodeCommit
数据之路
11-01 2573
CodeCommit的配置相对简单,首先登陆到AWS Console界面,到CodeCommit出,点Create Repository,给个名字,即可完成Repository的创建。然后就是配置客户端连接,这个比较麻烦。 我选用的是HTTPS连接方式和Windows客户端,然后AWS给出连接步骤: 1. Install Git (1.7.9 or later supported) wit
AWS上搭建Storage Gateway并创建SMB和NFS服务
数据之路
01-14 1257
6. Security Group填写要开放的端口,这个111和20048尤其重要,如果没有的话,SMB和NFS挂载会失败,而对于这两个端口,官方文档也没写清楚,文档新旧间也存在差异,我是尝试了好几遍才搞清楚一定要添加这2个端口,而对于允许访问这些端口的IP,建议设置为后续需要访问的EC2的内网IP,因为后续激活Gateway要通过HTTP,尤其对于中国区,因为默认禁止公网http访问,因此通过内网IP EC2才能可以访问并激活Gateway,这个也让我绕了圈子才想到。
EC2 Windows Instance忘记密码如何重置
数据之路
01-10 1014
AWS EC2 Windows重置用户密码
aws配置账户s3存储桶的访问
最新发布
04-01
### 设置账户 S3 存储桶访问权限的最佳实践及具体步骤 为了实现账户的 S3 存储桶访问权限,通常需要结合存储桶策略和 IAM 权限来完成。以下是详细的说明以及最佳实践。 #### 1. 配置存储桶策略 在 ACCOUNT A 中拥有 S3 存储桶的情况下,可以通过配置存储桶策略允许 ACCOUNT B 访问该存储桶及其对象。以下是一个典型的存储桶策略示例: ```json { "Version": "2012-10-17", "Statement": [ { "Sid": "crossAccountAccess", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::256454142732:root" }, "Action": "s3:*", "Resource": [ "arn:aws:s3:::iloveawscn", "arn:aws:s3:::iloveawscn/*" ] } ] } ``` 上述策略中,“`Principal`”字段指定了 ACCOUNT B 的根账号 ARN,而“`Resource`”字段定义了可被访问的具体资源范围[^2]。 #### 2. 创建并附加 IAM 策略到 ACCOUNT B 用户或角色 ACCOUNT B 需要为其用户或角色创建一个 IAM 策略,以便他们能够访问 ACCOUNT A 提供的 S3 存储桶。下面是一份适用于 ACCOUNT B 的 IAM 策略示例: ```json { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": ["arn:aws:s3:::iloveawscn/*"] } ] } ``` 此策略赋予 ACCOUNT B 的特定实体(如用户或角色)仅能执行 `GetObject` 操作的能力,从而限制其对 ACCOUNT A 存储桶内的数据的操作权限。 #### 3. 使用 CloudFormation 自动化部署(可选) 对于更复杂的场景,比如涉及批量操作或者动态调整权限的情况,可以利用 AWS CloudFormation 模板自动化整个过程。下载预构建的模板后,在其中指定目标 S3 存储桶名称以及其他必要的参数,并启动相应的 S3 批量操作作业以验证功能正常运行[^4]。 #### 安全性和最佳实践建议 - **最小权限原则**:始终遵循最小权限的原则,只授予所需的最低限度权限。 - **定期审查权限**:定期审计所有外部账户之间的共享关系,确保不再使用的授权及时撤销。 - **使用服务控制策略 (SCP)** :如果适用的话,考虑应用 SCP 进一步细化组织单位层面的安全管控措施[^1]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值