amazon-s3 - Amazon IAM ユーザー + S3 へのアクセス権の付与

Question

IAM ユーザーと S3 へのアクセス許可についていくつか質問があります。

注: S3.php を使用して、このユーザーでファイルを書き込んでいます。

1. ユーザーはパスワードを設定できますか?

2. ユーザーの作成後 (作成済み)、グループ ポリシーまたはユーザー ポリシーを使用してアクセス権を付与する必要がありますか?

3. このユーザーがオブジェクトを書き込めるようにしたいだけです (グローバルパブリック読み取りを許可するバケットポリシーを持っています)。どうすればこの権利を与えることができますか? （ユーザーポリシー）およびバケットにファイルを入れるために他の権限が必要ですか?

どうも

Answer 1

ポイントごと:

1. 「ユーザーはパスワードを設定できますか?」 ユーザーはパスワードを設定できますが、API アクセスの場合、パスワードを直接使用できるとは思いません。パスワードを設定しても、 API アクセスが妨げられることはありません。
2. "アクセス権を付与するためにグループ ポリシーまたはユーザー ポリシーを使用する必要がありますか? " ユーザー ポリシーとグループ ポリシーの違いは、単に組織の問題です。複数のユーザーが「同じ理由で」アクセスする必要がある場合は、グループ ポリシーを作成するのが理にかなっています。重複しない理由により、すべてのユーザーが特定の一連の要件を持っている場合、個々のユーザー ポリシーがより理にかなっています。これは基本的には将来の管理の問題です。ポリシー要件が将来変更された場合、複数のユーザーに対して同じ変更を行う必要が生じる可能性が高くなるでしょうか、それともさまざまな個別の変更を行う必要が生じる可能性が高くなるでしょうか?
3. "このユーザーにオブジェクトの書き込みだけを許可したい" ポリシー ジェネレーターはこれを支援しますが、知っておく必要がある重要な点は次のとおりです。
   • 探しているアクションのタイプは「s3:PutObject」です。「書き込み」の実際の意味によっては、他にもいくつかの権限が必要になる場合があります。「s3:DeleteObject」と「s3:ListBucket」は一般的なエクストラです。
   • 「arn」は「arn:aws:s3:::bucketNameGoesHere/*」のようになるか、アスタリスクをより具体的なものに置き換えて、「puts」を特定のプレフィックスに制限します」

以下に、あなたが望むことをするかもしれない基本的な方針を含めました。必要なものを正確に調整するには、いくつかの調整が必要になると思います。

{
  "Statement": [
    {
      "Sid": "AnyUniqueIdentifierForThePolicyStatementGoesHere",
      "Action": [
        "s3:PutObject"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::YourBucketNameGoesHere/*"
      ]
    }
  ]
}

うまくいけば、少なくとも正しい方向にあなたを向けるのに十分です.

便利なリンク:

• http://awspolicygen.s3.amazonaws.com/policygen.html
• http://docs.amazonwebservices.com/AmazonS3/latest/dev/UsingBucketPolicies.html