範例 2:授予跨帳戶儲存貯體許可的儲存貯體擁有者 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

範例 2:授予跨帳戶儲存貯體許可的儲存貯體擁有者

重要

將權限授與IAM角色相較於將權限授與個別使用者更好。若要了解如何操作,請參閱 了解跨帳戶權限和使用IAM角色

同時 AWS 帳戶— 例如,帳戶 A — 可以授予另一個 AWS 帳戶,帳戶 B,存取其資源 (例如值區和物件) 的權限。帳戶 B 接著可以將這些許可委派給其帳戶中的使用者。在此案例範例中,儲存貯體擁有者會將跨帳戶許可授予另一個帳戶,以執行特定儲存貯體操作。

注意

帳戶 A 也可以直接將使用儲存貯體政策的許可授予帳戶 B 中的使用者。不過,即使帳戶 B 沒有帳戶 A 的權限,使用者仍需要使用者所屬之父帳號帳號 B 的權限,只要使用者同時擁有資源擁有者和父帳號的權限,使用者就能夠存取資源。

下列是演練步驟的摘要:

同時 AWS 帳戶 授予另一個 AWS 帳戶 訪問其資源的權限。
  1. 帳戶 A 管理員使用者會將授予跨帳戶許可的儲存貯體政策連接至帳戶 B,以執行特定儲存貯體操作。

    請注意,帳戶 B 中的管理員使用者將自動繼承許可。

  2. 帳戶 B 管理員使用者會將使用者政策連接至委派接收自帳戶 A 之許可的使用者。

  3. 帳戶 B 中的使用者接著會存取帳戶 A 所擁有之儲存貯體中的物件來驗證許可。

在此範例中,您需要兩個帳戶。下表顯示如何參照這些帳戶與其中的管理員使用者。根據IAM準則 (請參閱關於使用管理員使用者來建立資源並授予許可),我們不會在本逐步解說中使用 root 使用者認證。相反地,您可以在每個帳戶中建立管理員使用者,並使用這些憑證來建立資源以及將許可授予它們。

AWS 帳戶 ID 帳戶稱為 帳戶中的管理員使用者

1111-1111-1111

帳戶 A

AccountAadmin

2222-2222-2222

帳戶 B

AccountBadmin

建立使用者和授與權限的所有工作都在 AWS Management Console。 若要確認權限,逐步解說會使用指令行工具, AWS Command Line Interface (CLI) 及 AWS Tools for Windows PowerShell,所以你不需要編寫任何代碼。

準備演練

  1. 確保你有兩個 AWS 帳戶 並且每個帳戶都有一個管理員使用者,如前一節中的表格所示。

    1. 註冊一個 AWS 帳戶,如果需要的話。

    2. 使用帳戶 A 認證登入IAM主控台以建立管理員使用者:

      1. 創建用戶AccountAadmin並記下安全憑據。如需指示,請參閱在您的中建立IAM使用者 AWS 帳戶 (在 IAM 使用者指南中)

      2. 附加提供完整存取權AccountAadmin的使用者原則,以授予管理員權限。如需指示,請參閱《使用指南》中的〈IAM使用策略

    3. 當您在IAM控制台中時,請記下儀表板URL上的IAM用戶登錄。帳戶中的所有使用者在登入URL時都必須使用此功能 AWS Management Console.

      如需詳細資訊,請參閱使IAM者指南中的「使用者如何登入您的帳戶」。

    4. 使用帳戶 B 認證重複上述步驟,並建立系統管理員使用者AccountBadmin

  2. 設定 AWS Command Line Interface (AWS CLI) 或 AWS Tools for Windows PowerShell。 請確定您儲存系統管理員使用者認證,如下所示:

    • 如果使用 AWS CLI,建立兩個設定檔AccountBadminAccountAadmin然後在組態檔案中建立。

    • 如果使用 AWS Tools for Windows PowerShell,請確定您將工作階段的認證儲存為AccountAadminAccountBadmin

    如需說明,請參閱 設定逐步解說的工具

  3. 儲存管理員使用者憑證 (也稱為描述檔)。您可以使用描述檔名稱,而不是為所輸入的每個命令指定憑證。如需詳細資訊,請參閱設定逐步解說的工具

    1. 在中新增設定檔 AWS CLI 每個管理員用戶的憑據文件,以AccountAadminAccountBadmin在兩個帳戶中。

      [AccountAadmin] aws_access_key_id = access-key-ID aws_secret_access_key = secret-access-key region = us-east-1 [AccountBadmin] aws_access_key_id = access-key-ID aws_secret_access_key = secret-access-key region = us-east-1
    2. 如果您正在使用 AWS Tools for Windows PowerShell,執行下列命令。

      set-awscredentials –AccessKey AcctA-access-key-ID –SecretKey AcctA-secret-access-key –storeas AccountAadmin set-awscredentials –AccessKey AcctB-access-key-ID –SecretKey AcctB-secret-access-key –storeas AccountBadmin

步驟 1:執行帳戶 A 任務

步驟 1.1:登入 AWS Management Console

使用帳戶 A URL 的使用IAM者登入,首先登入 AWS Management Console 作為AccountAadmin用戶。此使用者將建立儲存貯體並連接其政策。

步驟 1.2:建立儲存貯體

  1. 在 Amazon S3 主控台中建立儲存貯體。本練習假設值區是在美國東部 (維吉尼亞北部) 建立的 AWS 區域 並命名為amzn-s3-demo-bucket

    如需說明,請參閱 建立儲存貯體

  2. 將範例物件上傳至儲存貯體。

    如需取得說明,請前往 步驟 2:將物件上傳至您的儲存貯體

步驟 1.3:連接儲存貯體政策以將跨帳戶許可授予帳戶 B

值區政策會將s3:GetLifecycleConfigurations3:ListBucket權限授予帳戶 B。假設您仍使用使用AccountAadmin者認證登入主控台。

  1. 將下列儲存貯體政策連接至 amzn-s3-demo-bucket。政策會將 s3:GetLifecycleConfigurations3:ListBucket 動作的許可授予帳戶 B。

    如需說明,請參閱 使用 Amazon S3 主控台新增儲存貯體政策

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Example permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountB-ID:root" }, "Action": [ "s3:GetLifecycleConfiguration", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] } ] }
  2. 確認帳戶 B (以及其系統管理員使用者) 可以執行作業。

    • 使用驗證 AWS CLI

      aws s3 ls s3://amzn-s3-demo-bucket --profile AccountBadmin aws s3api get-bucket-lifecycle-configuration --bucket amzn-s3-demo-bucket --profile AccountBadmin
    • 使用驗證 AWS Tools for Windows PowerShell

      get-s3object -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBadmin get-s3bucketlifecycleconfiguration -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBadmin

步驟 2:執行帳戶 B 任務

現在,帳戶 B 管理員會建立使用者 Dave,並委派接收自帳戶 A 的許可。

步驟 2.1:登入 AWS Management Console

使用使用IAM者登入URL帳戶 B,首先登入 AWS Management Console 作為AccountBadmin用戶。

步驟 2.2:在帳戶 B 中建立使用者 Dave

在「主IAM控台」中,建立使用者、Dave

如需指示,請參閱《使IAM用指南》中的「建立使用IAM者 (主控台)」。

步驟 2.3:將許可委派給使用者 Dave

使用下列政策,建立使用者 Dave 的內嵌政策。您需要提供儲存貯體名稱來更新政策。

假設您已使用使用AccountBadmin者認證登入主控台。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Example", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] } ] }

如需指示,請參閱IAM使用指南中的管理IAM策略

步驟 2.4:測試許可

現在,帳戶 B 中的 Dave 可以列出帳戶 A 所擁有 amzn-s3-demo-bucket 的內容。您可以使用下列任一個程序來驗證許可。

使用測試權限 AWS CLI
  1. UserDave設定檔新增至 AWS CLI 配置文件。如需組態檔的詳細資訊,請參閱「設定逐步解說的工具」。

    [profile UserDave] aws_access_key_id = access-key aws_secret_access_key = secret-access-key region = us-east-1
  2. 在命令提示字元中,輸入以下內容 AWS CLI 用於驗證 Dave 的命令現在可以從帳戶 A amzn-s3-demo-bucket 擁有的物件清單中取得物件清單。請注意指定設定UserDave檔的命令。

    aws s3 ls s3://amzn-s3-demo-bucket --profile UserDave

    戴夫沒有任何其他權限。因此,如果他嘗試任何其他操作(例如,下面的get-bucket-lifecycle配置),Amazon S3 將返回被拒絕的權限。

    aws s3api get-bucket-lifecycle-configuration --bucket amzn-s3-demo-bucket --profile UserDave
使用測試權限 AWS Tools for Windows PowerShell
  1. 將戴夫的憑據存儲為AccountBDave.

    set-awscredentials -AccessKey AccessKeyID -SecretKey SecretAccessKey -storeas AccountBDave
  2. 嘗試列出儲存貯體命令。

    get-s3object -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBDave

    戴夫沒有任何其他權限。因此,如果他嘗試任何其他操作(例如,以下操作),get-s3bucketlifecycleconfigurationAmazon S3 將返回被拒絕的權限。

    get-s3bucketlifecycleconfiguration -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBDave

步驟 3:(選用) 嘗試明確拒絕

您可以使用存取控制清單 (ACL)、儲存貯體原則或使用者原則來授與權限。但是,如果儲存貯體原則或使用者原則有明確拒絕設定,則明確拒絕的優先順序會高於任何其他權限。若要進行測試,請更新值區政策,並明確拒絕帳戶 B 的s3:ListBucket權限。此政策也會授予s3:ListBucket權限。不過,明確拒絕優先順序,而帳戶 B 或帳戶 B 中的使用者將無法列出中的物件amzn-s3-demo-bucket

  1. 使用帳戶 A AccountAadmin 中使用者的認證,以下列方式取代值區政策。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Example permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountB-ID:root" }, "Action": [ "s3:GetLifecycleConfiguration", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "Deny permission", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::AccountB-ID:root" }, "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] } ] }
  2. 現在,如果您嘗試使用AccountBadmin憑據獲取存儲桶列表,則訪問被拒絕。

    • 使用 AWS CLI,執行下列命令:

      aws s3 ls s3://amzn-s3-demo-bucket --profile AccountBadmin
    • 使用 AWS Tools for Windows PowerShell,執行下列命令:

      get-s3object -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBDave

步驟 4:清理

  1. 完成測試後,您可以執行以下操作來清理:

    1. 登入 AWS Management Console (AWS Management Console) 使用帳戶 A 認證,並執行下列動作:

      • 在 Amazon S3 主控台中,移除連接至 amzn-s3-demo-bucket 的儲存貯體政策。在儲存貯體 Properties (屬性) 中,刪除 Permissions (許可) 區段中的政策。

      • 如果儲存貯體是為此練習而建立,請在 Amazon S3 主控台中刪除物件,然後刪除儲存貯體。

      • 在「主IAM控台」中,移除使AccountAadmin用者。

  2. 使用帳戶 B 認證登入IAM主控台。刪除使用者AccountBadmin。如需 step-by-step 指示,請參閱《IAM使用指南》中的〈刪除IAM使用者〉