我已经将大约500个文件上传到S3存储桶。现在我想为每个对象的权限添加一个帐户(添加一个存储桶权限并不能让该帐户对文件本身具有读取权限。)
我该怎么办?我不想两次重新上传500个大型视频文件,只是为了获得授予的权限。
我试过了aws s3 mv s3://mybucket/mybigvideo.mp4 s3://mybucket/ --grants read=id=abcde...,但我无法将文件移到自己身上。
答案 0 :(得分:1)
您实际上可以将文件复制到自身。只要某些属性发生更改(例如访问控制列表(ACL)),就允许这样做。
aws s3 cp s3://bucket/foo.mp4 s3://bucket/foo.mp4 --grants read=id=abcd...
答案 1 :(得分:0)
所以我将所有500个文件列入文件并编辑文件如下:
aws s3 mv s3://myrealbucket/bigvideo-001.mp4 s3://tempbucket/; aws s3 mv s3://tempbucket/bigvideo-001.mp4 s3://myrealbucket/ --grants read=id=abcd...
aws s3 mv s3://myrealbucket/bigvideo-002.mp4 s3://tempbucket/; aws s3 mv s3://tempbucket/bigvideo-002.mp4 s3://myrealbucket/ --grants read=id=abcd...
这需要一两个小时才能完成,但它会起作用。
有人有更好的方法吗?
答案 2 :(得分:0)
您可以使用Assume角色,
要控制从其他帐户访问存储分区,
{
"type": "AssumedRole",
"principalId": "AROAJI4AVVEXAMPLE:ROLE-SESSION-NAME",
"arn": "arn:aws:sts::ACCOUNTNUMBER:assumed-role/ROLE-NAME/ROLE-SESSION-NAME",
"accountId": "ACCOUNTNUMBER",
"accessKeyId": "ASIAEXAMPLEKEY",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "XXXX-XX-XXTXX:XX:XXZ"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROAJI4AVV3EXAMPLEID",
"arn": "arn:aws:iam::ACCOUNTNUMBER:role/ROLE-NAME",
"accountId": "ACCOUNTNUBMER",
"userName": "ROLE-SESSION-NAME"
}
}
}
希望它有所帮助。