如何限制S3存储桶到特定的IAM用户只能通过API令牌访问它

Question

我们有一个类似于Dropbox的应用程序，我们将用户的文件存储在S3中。用户执行此操作的唯一方法是通过应用程序（与Dropbox类似）。

由于有效的隐私问题，我们希望限制该S3存储桶的访问权限，因此存储桶的内容只能通过应用访问 - 为此我们创建了API令牌并使用它访问内容。

我们甚至不希望root帐户能够遍历该特定S3存储桶的内容。

但是，如果需要一些行政干预，我们希望能够授予特定用户帐户物理遍历S3存储桶的能力，并在该时间点执行所需的任何操作。一旦所述管理任务完成，访问应该被撤销。

你有没有遇到过这种情况？怎么会去实现这样的事情呢？

感谢您的想法

Answer 1

的根证书与AWS账户相关联的具有完全的权限。即使他们不这样做，他们也能够删除阻止权限。通常情况下，公司通过添加多因素身份验证（MFA）设备并将其锁定在安全区域中来保护其根登录。

你可以随便写，否认除了特定的IAM用户的所有访问桶政策，和你的应用程序可以使用IAM用户或者：

• 下载内容，然后直接服务于它给客户，或
• 创建是授予在Amazon S3的私人物品限时访问前签署的网址，然后提供这些网址给客户，让他们可以从Amazon S3
下载对象

临时访问可以通过修改桶策略来授予。当然，您应该限制普通用户修改桶策略的能力。

对于这种敏感信息，您应该可能会创建一个单独的AWS账户。这样，只有少数人能够访问该帐户，从而防止意外授予访问权限。例如，如果系统管理员被授权访问帐户A中的所有S3存储桶，他们将无法访问帐户B中的存储桶。