如何使用 AWS STS 为 s3 中的文件的特定资源创建只读和只写令牌

我必须为 S3 中的文件生成只读和只写令牌。

到目前为止我尝试了什么：

创建一个对引用中的存储桶具有读写访问权限的 IAM 角色
创建 STS 客户端
承担 STS 客户端在步骤 #1 中创建的 IAM 角色
使用 sts 客户端生成凭据

这是做什么的

让用户使用令牌访问 S3 中的文件
但这种访问不限于只读或只写
此外，如果 IAM 角色可以访问更多存储桶，令牌将访问所有存储桶

创建STS客户端

AWSSecurityTokenServiceClient sts_client = (AWSSecurityTokenServiceClient) AWSSecurityTokenServiceClientBuilder.standard()
                .withRegion(Regions.DEFAULT_REGION).build();

创建代入角色请求

AssumeRoleRequest assumeRoleRequest = new AssumeRoleRequest()
                .withRoleArn("arn:aws:iam::123456789123:role/iam-role-name")
                .withDurationSeconds(7200)
                .withRoleSessionName("session-role-"+System.currentTimeMillis());

生成令牌请求

GetSessionTokenRequest session_token_request = new GetSessionTokenRequest();

生成代币

GetSessionTokenResult session_token_result = sts_client.getSessionToken(session_token_request);

创建凭据

Credentials session_creds = session_token_result.getCredentials();

创建基本凭据

BasicSessionCredentials sessionCredentials = new BasicSessionCredentials(
            session_creds.getAccessKeyId(),
            session_creds.getSecretAccessKey(),
            session_creds.getSessionToken());

期待

能够生成只读和只写令牌
能够生成路径特定的令牌
令牌仅限于引用中的资源，而不是 IAM 角色中附加的所有存储桶

九州编程

浏览 194回答 2

2回答

慕标5832272

我找到了解决方案。创建一个 STS 客户端并承担一个给定的角色，并有权访问所有必需的存储桶在获取令牌之前创建一个内联策略并附加到 STS 客户端使用 STS 客户端进行 getSessionToken 调用是做什么的：允许访问受在线策略中给定路径限制的特定资源它还限制了在线策略中提到的读取或写入访问

0 0

湖上湖

be able to generate read only and write only tokens您需要为只读和只写定义不同的角色。恕我直言，您不能仅使用一个角色来构建您的用例。be able to generate path specific tokens该角色可以包括对特定 S3 密钥（文件名）的引用，例如：{  "Version": "2012-10-17",  "Statement": [    {      "Effect": "Allow",      "Action": ["s3:Get*", "s3:List*"],      "Resource": [        "arn:aws:s3:::MyExampleBucket",        "arn:aws:s3:::MyExampleBucket/mypath/myfile.txt"      ]    }  ]}

0 0

随时随地看视频慕课网APP