amazon-s3 - 署名付き URL の正しい S3 ポリシー

Question

ユーザーが特定の S3 バケットにファイルを GET および PUT できるようにするために、事前に署名された URL を発行する必要があります。IAM ユーザーを作成し、そのキーを使用して署名付き URL を作成し、そのユーザーに埋め込まれたカスタム ポリシーを追加しました (以下を参照)。生成された URL を使用するAccessDeniedと、ポリシーでエラーが発生します。ポリシーを IAM ユーザーに追加するFullS3Accessと、ファイルは同じ URL で GET または PUT できるため、明らかにカスタム ポリシーが不足しています。それの何が問題なのですか？

私が使用しているカスタムポリシーは次のとおりです。

{
    "Statement": [
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::MyBucket"
            ]
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:CreateBucket",
                "s3:DeleteBucket",
                "s3:DeleteBucketPolicy",
                "s3:DeleteObject",
                "s3:GetBucketPolicy",
                "s3:GetLifecycleConfiguration",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:PutBucketPolicy",
                "s3:PutLifecycleConfiguration",
                "s3:PutObject"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::MyBucket/*"
            ]
        }
    ]
}

Answer 1

これは、署名済みの S3 URL で機能する IAM ポリシーです。

{
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": [
            "s3:PutObject",
            "s3:GetObject"
        ],
        "Resource": "arn:aws:s3:::mydocs/*"
      }
    ]
}

あなたの問題はそのResource部分にあるのだろうか。バケットに対する GET リクエストはMyBucket常に行われましたか?

Answer 2

バケットのアクセス許可とオブジェクトのアクセス許可

ポリシーの次のアクセス許可は、バケット内のサブパス (例: )ではなく、バケットレベル ( ) である必要があります。arn:aws:s3:::MyBucketarn:aws:s3:::MyBucket/*

• s3:CreateBucket
• s3:バケットの削除
• s3:BucketPolicy の削除
• s3:GetBucketPolicy
• s3:GetLifecycleConfiguration
• s3:リストバケット
• s3:ListBucketMultipartUploads
• s3:PutBucketPolicy
• s3:PutLifecycleConfiguration

参照:ポリシーでの権限の指定

ただし、それはファイルを PUT または GET できない原因ではありません。

得る

GetObject権限が割り当てられているということは、S3 バケットからオブジェクトを取得できることを意味します。ポリシーをユーザーに割り当て、そのユーザーの資格情報を使用してオブジェクトにアクセスすることでこれをテストしたところ、正しく機能しました。

置く

また、ポリシーを使用して Web フォーム経由でアップロードしたところ、正しく機能しました。

アップロードに使用したフォームは次のとおりです。

<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <title>S3 POST Form</title> 

  <style type="text/css"></style></head>

  <body> 
    <form action="https://<BUCKET-NAME>.s3.amazonaws.com/" method="post" enctype="multipart/form-data">
      <input type="hidden" name="key" value="uploads/${filename}">
      <input type="hidden" name="AWSAccessKeyId" value="<ACCESS-KEY>">
      <input type="hidden" name="acl" value="private"> 
      <input type="hidden" name="success_action_redirect" value="http://<BUCKET-NAME>.s3.amazonaws.com/ok.html">
      <input type="hidden" name="policy" value="<ENCODED-POLICY>">
      <input type="hidden" name="signature" value="<SIGNATURE>">
      <input type="hidden" name="Content-Type" value="image/jpeg">
      <!-- Include any additional input fields here -->

      File to upload to S3: 
      <input name="file" type="file"> 
      <br> 
      <input type="submit" value="Upload File to S3"> 
    </form> 

署名の生成方法は次のとおりです。

#!/usr/bin/python
import base64
import hmac, hashlib

policy_document = '{"expiration": "2018-01-01T00:00:00Z", "conditions": [ {"bucket": "<BUCKET-NAME>"}, ["starts-with", "$key", "uploads/"], {"acl": "private"}, {"success_action_redirect": "http://BUCKET-NAME.s3.amazonaws.com/ok.html"}, ["starts-with", "$Content-Type", ""], ["content-length-range", 0, 1048000] ] }'

AWS_SECRET_ACCESS_KEY = "<SECRET-KEY>"

policy = base64.b64encode(policy_document)

signature = base64.b64encode(hmac.new(AWS_SECRET_ACCESS_KEY, policy, hashlib.sha1).digest())

print policy
print
print signature

Answer 3

約 1 週間 IAM のアクセス許可をいじった後、これは機能しました。私の目標は、S3 イメージを読み取るための presigned_url を作成することでした (最大 7 日間有効期限が切れません)。

KMS と S3 が必要です。

STSは必要ないかもしれませんが、「assume_role」機能もいじっていました。

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": [
            "s3:PutObject",
            "s3:GetObject",
            "kms:Decrypt",
            "kms:Encrypt",
            "kms:DescribeKey",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:*:<account-number>:key/*",
            "arn:aws:s3:::<bucket-name>/*"
        ]
    },
    {
        "Sid": "VisualEditor1",
        "Effect": "Allow",
        "Action": [
            "sts:GetSessionToken",
            "sts:DecodeAuthorizationMessage",
            "sts:GetAccessKeyInfo",
            "sts:GetCallerIdentity",
            "sts:GetServiceBearerToken"
        ],
        "Resource": "*"
    },
    {
        "Sid": "VisualEditor2",
        "Effect": "Allow",
        "Action": "sts:*",
        "Resource": [
            "arn:aws:iam::<account-number>:<role-arn>",
            "arn:aws:iam::<account-number>:user/<aws-user-name>"
        ]
    }
]

}

このユーザー資格情報を使用する関数は次のとおりです

from botocore.config import Config
my_config = Config(
    region_name = 'us-east-2',
    signature_version = 's3v4',
    s3={'addressing_style': 'path'},
)

client = boto3.client('s3', config=my_config,
aws_access_key_id = AWS_ACCESS_KEY_ID,
aws_secret_access_key = AWS_SECRET_ACCESS_KEY
)
presigned_url = client.generate_presigned_url(
    'get_object',
    Params={'Bucket': bucket_name, 'Key': key_name},
    ExpiresIn=604800,
    HttpMethod=None
)