1

我必须为 S3 中的文件生成只读和只写令牌。

到目前为止我已经尝试过:

  1. 创建一个对引用中的存储桶具有读写访问权限的 IAM 角色
  2. 创建 STS 客户端
  3. 承担由 STS 客户端在步骤 #1 中创建的 IAM 角色
  4. 使用 sts 客户端生成凭据

这是做什么的

  1. 允许用户使用令牌访问 S3 中的文件
  2. 但这种访问不限于只读或只写
  3. 此外,如果 IAM 角色有权访问更多存储桶,则令牌将访问所有存储桶

创建 STS 客户端

AWSSecurityTokenServiceClient sts_client = (AWSSecurityTokenServiceClient) AWSSecurityTokenServiceClientBuilder.standard()
                .withRegion(Regions.DEFAULT_REGION).build();

创建代入角色请求

AssumeRoleRequest assumeRoleRequest = new AssumeRoleRequest()
                .withRoleArn("arn:aws:iam::123456789123:role/iam-role-name")
                .withDurationSeconds(7200)
                .withRoleSessionName("session-role-"+System.currentTimeMillis());

生成令牌请求

GetSessionTokenRequest session_token_request = new GetSessionTokenRequest();

生成令牌

GetSessionTokenResult session_token_result = sts_client.getSessionToken(session_token_request);

创建凭据

Credentials session_creds = session_token_result.getCredentials();

创建基本凭据

BasicSessionCredentials sessionCredentials = new BasicSessionCredentials(
            session_creds.getAccessKeyId(),
            session_creds.getSecretAccessKey(),
            session_creds.getSessionToken());

期待

  1. 能够生成只读和只写令牌
  2. 能够生成特定于路径的令牌
  3. 令牌仅限于引用的资源,而不是 IAM 角色中附加的所有存储桶
4

2 回答 2

0

我找到了解决方案。

  1. 创建一个 STS 客户端并担任具有所有必需存储桶权限的给定角色
  2. 在获取令牌之前创建一个内联策略并附加到 STS 客户端
  3. 使用 STS 客户端进行 getSessionToken 调用

做什么是:

  1. 授予对受线路策略中给出的路径限制的特定资源的访问权限
  2. 它还限制了内联策略中提到的读取或写入访问权限
于 2019-07-28T17:41:54.557 回答
0
be able to generate read only and write only tokens

您需要为只读和只写定义不同的角色。恕我直言,您不能仅使用一个角色来构建用例。

be able to generate path specific tokens

该角色可以包含对特定 S3 密钥(文件名)的引用,例如:



{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:Get*", "s3:List*"],
      "Resource": [
        "arn:aws:s3:::MyExampleBucket",
        "arn:aws:s3:::MyExampleBucket/mypath/myfile.txt"
      ]
    }
  ]
}

于 2019-07-22T21:33:43.667 回答