Amazon S3: accesso al bucket S3, ma bucket di produzione rifiutato senza MFA recente - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Amazon S3: accesso al bucket S3, ma bucket di produzione rifiutato senza MFA recente

Questo esempio mostra come creare una policy basata sull'identità che consenta a un amministratore Amazon S3 di accedere a qualsiasi bucket, inclusi l'aggiornamento, l'aggiunta e l'eliminazione di oggetti. Tuttavia, rifiuta esplicitamente l'accesso al bucket Production se l'utente non ha effettuato l'accesso utilizzando l'autenticazione multi-fattore (MFA) negli ultimi 30 minuti. Questo criterio concede le autorizzazioni necessarie per eseguire questa azione nella console o a livello di codice utilizzando l'API o. AWS CLI AWS Per utilizzare questa policy, sostituisci il testo segnaposto in corsivo nella policy di esempio con le tue informazioni. Quindi, segui le indicazioni fornite in Creazione di una policy o Modifica di una policy.

Questa policy non consente mai l'accesso a livello di programmazione al bucket Production utilizzando le chiavi di accesso degli utenti a lungo termine. Questa operazione viene eseguita utilizzando la chiave di condizione aws:MultiFactorAuthAge con l'operatore di condizione NumericGreaterThanIfExists. Questa condizione di policy restituisce true se MFA non è presente o se l'età di MFA è superiore a 30 minuti. In tali situazioni, l'accesso è negato. Per accedere al Production bucket a livello di codice, l'amministratore S3 deve utilizzare credenziali temporanee generate negli ultimi 30 minuti utilizzando l'operazione API. GetSessionToken

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListAllS3Buckets",
            "Effect": "Allow",
            "Action": ["s3:ListAllMyBuckets"],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketLevelActions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketObjectActions",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws:s3:::*/*"
        },
        {
            "Sid": "RequireMFAForProductionBucket",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::Production/*",
                "arn:aws:s3:::Production"
            ],
            "Condition": {
                "NumericGreaterThanIfExists": {"aws:MultiFactorAuthAge": "1800"}
            }
        }
    ]
}