ビデオを S3 バケットにアップロードし、別のユーザー (Zencoder サービス用) がファイルを取得してトランスコードされたファイルをバケットにアップロードできるようにするカスタム ポリシーを作成するアプリケーションがあります。

以下は、トランスコーディング中にユーザーに与える現在のカスタム ポリシーです。基本的に、バケット全体に完全な読み取り許可を与えますが、ユーザーが特定のネストされたフォルダーにファイルを PUT することのみを許可します。

これはほとんどの場合機能しますが、Zencoder によって転送された約 1,000 個のファイルの中で、通常、403 Forbiddenエラーで失敗する 1 つまたは 2 つのファイルがあります。エラーの前後にファイルが正しく転送されたため、理由はわかりません。

403 Access Deniedそのようなアクセス許可が提供されたときに、Amazon AWS S3 / IAM が を送信する理由はありますか?

次のバケット ポリシーを使用すると、期待どおりに PUT アクセスが制限されていることがわかります。ただし、この操作を許可するものがないにもかかわらず、作成されたオブジェクトで GET が許可されています。

次のように、curl を使用して<BUCKET>ファイルを PUT することができます。<IP ADDRESS>

ファイルが正常にアップロードされ、S3 コンソールに表示されます。何らかの理由で、インターネット上のどこからでもファイルを取得できるようになりました。

これは、上記の方法を使用してアップロードされたファイルにのみ適用されます。S3 Web コンソールでファイルをアップロードするときに、curl を使用して GET できません (アクセスが拒否されました)。したがって、これはオブジェクト レベルの権限の問題だと思います。バケット ポリシーがこのアクセスを暗黙的に拒否しない理由はわかりませんが。

コンソールでオブジェクト レベルのアクセス許可を見ると、コンソールからアップロードされたファイル (方法 1) と、許可されたものからアップロードされたファイル (方法 2) の唯一の違いは、<IP ADDRESS>方法 2 のファイルには「所有者」がないことです。 、アクセス許可、またはメタデータ - メソッド 1 ファイルにはこれらすべてが含まれています。

さらに、バケットへのフルアクセス権を持つロールを引き受ける Lambda スクリプト (boto3 download_file()) を使用してオブジェクトを取得しようとすると、方法 2 でアップロードされたオブジェクトでは失敗します。方法 1 でアップロードされたオブジェクトでは成功します。

ユーザーが特定の S3 バケットにファイルを GET および PUT できるようにするために、事前に署名された URL を発行する必要があります。IAM ユーザーを作成し、そのキーを使用して署名付き URL を作成し、そのユーザーに埋め込まれたカスタム ポリシーを追加しました (以下を参照)。生成された URL を使用するAccessDeniedと、ポリシーでエラーが発生します。ポリシーを IAM ユーザーに追加するFullS3Accessと、ファイルは同じ URL で GET または PUT できるため、明らかにカスタム ポリシーが不足しています。それの何が問題なのですか？

私が使用しているカスタムポリシーは次のとおりです。

AdministratorAccessIAM での削除および更新アクションの拒否などを除いて、すべてを管理するユーザーを作成したい

私はこれをやろうとしました

• 管理者ユーザーの作成
• IAM で削除操作と更新操作を拒否するポリシーを作成する
• そのポリシーをユーザーにアタッチします
• ユーザーは現在 (AdministratorAccess + MyPolicy) を持っています

しかし

• ユーザーは引き続き IAM でユーザーを削除および更新できます
• これだからだと思いますAdministratorAccess

複雑な複数のポリシーを作成しようとせずに、これを行う方法はありますか?

アップデート

これが私が作成したポリシーです

更新 2

リソースを に設定するとarn:aws:iam::1234、うまくいきました!

バックアップのために Linux サーバーから AWS S3 にディレクトリを同期しています。

ただし、次のようにバックアップを復元する場合に気付きました。

所有者とファイルのパーミッションが異なります。ファイルの元の Linux 情報を保持するためにコードを変更または変更できることはありますか?

ありがとう！

ポリシーを (AWS DynamoDB テーブルなどに) 適用して、Cognito ユーザーの特定のフィールド (Cognito ID 以外) に基づいて制限することはできますか?

実装しようとしていること: 1 つの特定のグループに属する複数の Cognito ユーザーがいます。各グループには複数のユーザーを含めることができます。1000 を超えるグループが多数あります。

1. 各グループには、グループに属する DynamoDB テーブルの行を読み書きする権限が必要です (そのために、テーブルにはフィールド GroupName があります)。
2. 各ユーザーは、所属するグループと同じ権限を持つ必要があります。

ポリシー ファイルで、MyCognitoUser.GroupName が row.GroupName と等しいことを確認したいと思います。