Question

我有一个问题。我正在使用Auth0和AWS SDK访问S3上的一些存储桶。我有个问题。有没有办法在不使用存储桶策略的情况下限制对S3存储桶的访问？也许使用Auth0提供的元数据。

全部谢谢

Answer 1

也许您正在寻找类似https://github.com/auth0/auth0-s3-sample之类的内容来限制用户对其资源的访问权限。

用户存储桶的IAM策略（仅限这些用户）

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowEverythingOnSpecificUserPath",
      "Effect": "Allow",
      "Action": [
        "*"
      ],
      "Resource": [
          "arn:aws:s3:::YOUR_BUCKET/dropboxclone/${saml:sub}",
          "arn:aws:s3:::YOUR_BUCKET/dropboxclone/${saml:sub}/*"]
   },
   {
      "Sid": "AllowListBucketIfSpecificPrefixIsIncludedInRequest",
      "Action": ["s3:ListBucket"],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::YOUR_BUCKET"],
      "Condition":{
        "StringEquals": { "s3:prefix":["dropboxclone/${saml:sub}"] }
       }
    }
  ]
}

但是，如果用户拥有可共享的群组文件夹，那么它可能会变得更加棘手，我自己也会对此进行调查。在第11页上查看此pdf：https://www.pingidentity.com/content/dam/pic/downloads/resources/ebooks/en/amazon-web-services-ebook.pdf?id=b6322a80-f285-11e3-ac10-0800200c9a66 LEAPAGE OPENID CONNECT FOR AWS APIS 用例类似。

因此，可以选择执行以下操作

[USER] -> [Auth0] -> [AWS (Federation/SAML)] -> [exchange temporary AWS credentials] -> [use temp. credentials to access S3]

希望它有所帮助，即使很久以前你问过这个问题，其他用户也许会受益。如果您找到了更好的解决方案，请分享。

Answer 2

要限制对S3存储桶的访问，您必须使用Amazon IAM。

使用Auth0时，您基本上将您的Auth0令牌换成亚马逊令牌。然后，使用该Amazon令牌，您将调用S3。这意味着，为了限制对S3某些部分的访问，您必须更改Amazon的令牌权限，这意味着您需要使用IAM。

有道理吗？

干杯！

Auth0和S3桶

2 个答案: