Amazon S3 資源概述及管理訪問基本操作

預設情況下，所有Amazon S3資源都是私有的，包括儲存桶、物件和相關子資源(例如liftcycle、website配置)。只有資源擁有者，即建立該資源的AWS賬戶可以訪問資源。資源擁有者可以選擇通過編寫訪問策略授予他人訪問許可權。

Amazon S3提供的訪問策略大致可分為兩類：基於資源的策略、使用者策略。

附加到資源(儲存桶和物件)的訪問策略稱為基於資源的策略，例如，儲存桶策略和訪問控制列表(ACL)就是基於資源的策略。將訪問策略附加到賬戶中的使用者，就是使用者策略。可以使用這些策略的組合來管理你的Amazon S3資源許可權。

一、訪問管理概述

1.Amazon S3資源

儲存桶和物件是主要的Amazon S3資源，它們都有關聯的子資源。

儲存桶的子資源包括：

·liftcycle—儲存生命週期配置

·website—為網站託管配置儲存桶時儲存網站配置資訊

·versioning—儲存版本控制配置

·policy和acl(訪問控制列表)—儲存儲存桶的訪問許可權資訊

·cors(跨源資源共享)—支援配置儲存桶以允許跨源請求

·logging—使您能夠請求Amazon S3儲存儲存桶訪問日誌

物件子資源包括：

·acl—儲存物件訪問許可權列表。這裡討論如何使用這一子資源管理物件許可權

關於物件擁有者

預設情況下，所有S3資源都是私有的。只有資源擁有者才能訪問資源。資源擁有著是指建立資源的

·用於建立儲存桶和物件的AWS賬戶擁有這些資源

·如果您在AWS賬戶中建立一個AWS Identity and Access Management(IAM)使用者，您的AWS賬戶就是父級擁有者。如果該IAM使用者上傳一個物件，那麼該使用者所屬的父賬戶擁有該物件。

·儲存桶擁有者可以向其他AWS賬戶(或其他賬戶中的使用者)授予上傳物件的跨賬戶許可權。這種情況下，上傳物件的AWS賬戶擁有這些物件。儲存桶擁有者對其他賬戶擁有的物件沒有許可權。

以下情況除外：

* 賬單由儲存桶擁有者支付，儲存桶擁有者可以拒絕對任何物件的訪問，或刪除儲存桶中的任何物件，而無論他們的擁有者是誰

* 儲存桶擁有者可以存檔任何物件或還原存檔物件，而無論他們的擁有者是誰。

注：AWS不建議使用AWS賬戶的根憑證發起請求，而應建立一個IAM使用者授予該使用者完全訪問許可權。我們將這些使用者稱為管理員使用者。可以使用管理員使用者憑證而不是賬戶的根憑證來與AWS互動和執行任務，例如建立儲存桶、建立使用者、和為使用者授予許可權。

下圖所示為一個擁有資源、IAM使用者、儲存桶和物件的AWS賬戶。

2.資源操作

Amazon S3提供一組操作來處理Amazon S3資源。

3.管理對資源的訪問(訪問策略選項)

管理訪問是指通過編寫訪問策略向他人(AWS賬戶和使用者)授予執行資源操作的許可權。例如，可以對AWS賬戶中的一個使用者授予PUT Object許可權，使該使用者可以向您的儲存桶上傳物件。除了向單個物件的使用者和賬戶授予許可權外們還可以向每個人(匿名使用者)或所有已驗證身份的使用者(擁有AWS憑證的使用者)授予許可權。例如，當您將儲存桶配置為網站是，可能希望通過向每個人授予GET Object許可權將物件公開。

訪問策略描述了誰可以訪問哪些內容，可以將訪問策略與資源(儲存桶和物件)或使用者相關聯。相應地，可以將可用的Amazon S3訪問策略如下分類：

·基於資源的策略—儲存桶策略和訪問控制列表(ACL)是基於資源的策略，因為您將它們附加到Amazon S3資源上。

﹡ACL—每個儲存桶和物件都有關聯的ACL。ACL是一個指定被授權者和所授權許可權的授權列表。您可使用ACL向其他AWS賬戶授予基本的讀/寫許可權。ACL使用特定於Amazon S3的XML架構。

下面是一個示例儲存桶ACL。該ACL中的授權顯示一個儲存桶擁有者具有完全控制權限。

<?xml version="1.0" encoding="UTF-8"?>

<AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/">

  <Owner>

    <ID>*** Owner-Canonical-User-ID ***</ID>

    <DisplayName>owner-display-name</DisplayName>

  </Owner>

  <AccessControlList>

    <Grant>

      <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

               xsi:type="Canonical User">

        <ID>*** Owner-Canonical-User-ID ***</ID>

        <DisplayName>display-name</DisplayName>

      </Grantee>

      <Permission>FULL_CONTROL</Permission>

    </Grant>

  </AccessControlList>

</AccessControlPolicy>

儲存桶和物件ACL使用相同的XML架構

﹡儲存桶策略—對於儲存桶，您可以通過新增儲存桶策略向其他AWS賬戶或IMA使用者授予響應儲存桶及其中物件的許可權。任何物件許可權都僅應用於儲存桶擁有者建立的物件。儲存桶策略補充(通常情況下取代)基於ACL的訪問策略。

下面是一個儲存桶策略。使用JSON檔案來表示儲存桶策略(和使用者策略)。該策略授予對一個儲存桶中所有物件的匿名讀取許可權。該儲存桶策略有一條語句，允許對名為examplebucket的儲存桶中的物件執行S3(examplebucket資料夾中資料元)：GetObject操作(讀取許可權)。通過使用萬用字元(*)指定principal,該策略授予匿名訪問許可權。

{

    "Version":"2012-10-17",

    "Statement": [

        {

            "Effect":"Allow",

            "Principal": "*",

            "Action":["s3:GetObject"],

            "Resource":["arn:aws:s3:::examplebucket/*"]

        }

    ]

}

·使用者策略

您可以使用AWS Identity and Access Management(IAM)管理Amazon S3資源的訪問許可權。使用IAM，可以在您的賬戶中建立IAM使用者、組和角色，並通過附加訪問策略授予他們對包括Amazon S3在內的AWS資源的訪問許可權。

下面是一個使用者策略示例。因為 IAM 使用者策略附加到使用者，所以不能在其中授予匿名許可權。示例策略允許其附加到的關聯使用者對儲存桶及其中的物件執行六種不同的 Amazon S3 操作。您可以將此策略附加到一個具體的 IAM 使用者、組或角色。

{

    "Statement": [

        {

            "Effect":"Allow",

            "Action": [

                "s3:PutObject",

                "s3:GetObject",

                "s3:DeleteObject",

                "s3:ListAllMyBuckets",

                "s3:GetBucketLocation",

                "s3:ListBucket"

            ],

            "Resource":"arn:aws:s3:::examplebucket/*"

        }

    ]

}

當 Amazon S3 收到請求時，它必須評估所有訪問策略以決定是授權還是拒絕該請求。