在AWS S3中,如果文件已存在,如何向帐户授予权限

时间:2018-03-28 20:19:16

标签: amazon-s3 permissions

我已经将大约500个文件上传到S3存储桶。现在我想为每个对象的权限添加一个帐户(添加一个存储桶权限并不能让该帐户对文件本身具有读取权限。)

我该怎么办?我不想两次重新上传500个大型视频文件,只是为了获得授予的权限。

我试过了aws s3 mv s3://mybucket/mybigvideo.mp4 s3://mybucket/ --grants read=id=abcde...,但我无法将文件移到自己身上。

3 个答案:

答案 0 :(得分:1)

您实际上可以将文件复制到自身。只要某些属性发生更改(例如访问控制列表(ACL)),就允许这样做。

aws s3 cp s3://bucket/foo.mp4 s3://bucket/foo.mp4 --grants read=id=abcd...

答案 1 :(得分:0)

但是,这并不优雅,但它确实有效:创建一个虚拟s3存储桶,将每个文件移动到该存储桶中,当您将其移回时,请包含--grants标志。

所以我将所有500个文件列入文件并编辑文件如下:

aws s3 mv s3://myrealbucket/bigvideo-001.mp4 s3://tempbucket/; aws s3 mv s3://tempbucket/bigvideo-001.mp4 s3://myrealbucket/  --grants read=id=abcd...
aws s3 mv s3://myrealbucket/bigvideo-002.mp4 s3://tempbucket/; aws s3 mv s3://tempbucket/bigvideo-002.mp4 s3://myrealbucket/  --grants read=id=abcd...

这需要一两个小时才能完成,但它会起作用。

有人有更好的方法吗?

答案 2 :(得分:0)

您可以使用Assume角色,

https://aws.amazon.com/blogs/security/how-to-restrict-amazon-s3-bucket-access-to-a-specific-iam-role/

要控制从其他帐户访问存储分区,

{
  "type": "AssumedRole",
  "principalId": "AROAJI4AVVEXAMPLE:ROLE-SESSION-NAME",
  "arn": "arn:aws:sts::ACCOUNTNUMBER:assumed-role/ROLE-NAME/ROLE-SESSION-NAME",
  "accountId": "ACCOUNTNUMBER",
  "accessKeyId": "ASIAEXAMPLEKEY",
  "sessionContext": {
    "attributes": {
      "mfaAuthenticated": "false",
      "creationDate": "XXXX-XX-XXTXX:XX:XXZ"
    },
    "sessionIssuer": {
      "type": "Role",
      "principalId": "AROAJI4AVV3EXAMPLEID",
      "arn": "arn:aws:iam::ACCOUNTNUMBER:role/ROLE-NAME",
      "accountId": "ACCOUNTNUBMER",
      "userName": "ROLE-SESSION-NAME"
    }
  }
}

希望它有所帮助。

相关问题
最新问题