Amazon web services AWS S3 ACL公共读写:安全问题
我想从以下站点了解有关AWS S3 ACL公共读写的一些说明: 所有者获得完全控制权。AllUsers组被读取和写入 通道通常不建议在桶上授予此权限 [……] 所有用户组–由 . 访问权限 此组允许任何人访问资源。请求可以是 已签名(已验证)或未签名(匿名)。未签名的请求忽略 请求中的身份验证标头 但这意味着每个aws帐户都可以读/写我的文件?或者只有我的IAM用户才能读/写我的文件?请查看此文档: AmazonS3预定义组 AmazonS3有一组预定义的组。授予帐户访问权限时 对于组,您可以指定一个URI,而不是规范用户 ID.我们提供以下预定义组: 已验证用户组–由 . 这群 表示所有AWS帐户。对该组的访问权限允许 访问资源的任何AWS帐户。但是,所有请求都必须是 签名(认证) 所有用户组–由 . 访问权限 此组允许任何人访问资源。请求可以是 已签名(已验证)或未签名(匿名)。未签名的请求忽略 请求中的身份验证标头 日志传递组- 以…为代表。写 bucket上的权限使该组能够写入服务器访问日志 (请参阅服务器访问日志记录)到bucket 使用ACL,您可以与其他AWS帐户共享您的S3存储桶。如果没有登录AWS帐户,他们将无法访问您的bucket 如果希望AWS帐户和非AWS帐户都可以访问S3 bucket,则必须定义S3 bucket策略。 例如:Amazon web services AWS S3 ACL公共读写:安全问题,amazon-web-services,amazon-s3,Amazon Web Services,Amazon S3,我想从以下站点了解有关AWS S3 ACL公共读写的一些说明: 所有者获得完全控制权。AllUsers组被读取和写入 通道通常不建议在桶上授予此权限 [……] 所有用户组–由 . 访问权限 此组允许任何人访问资源。请求可以是 已签名(已验证)或未签名(匿名)。未签名的请求忽略 请求中的身份验证标头 但这意味着每个aws帐户都可以读/写我的文件?或者只有我的IAM用户才能读/写我的文件?请查看此文档: AmazonS3预定义组 AmazonS3有一组预定义的组。授予帐户访问权限时 对于组,您可以指
{
"Version": "2008-10-17",
"Statement": [
{
"Sid": "AllowPublicRead",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::S3-Bucket-name/*"
}
]
}
上述情况表明,任何人都可以访问这些资源,就像在AWS上任何经过身份验证的用户一样。这可能就是为什么它“通常不被推荐”。您始终可以通过创建这样一个bucket并尝试以不同用户的身份访问它来测试它。这意味着每个拥有AWS帐户的用户都可以删除/更新文件?其他AWS帐户可以删除/更新您的文件,这取决于您的设置。您可以将其设置为读取权限或完全权限转到S3,选择您的S3存储桶,单击“权限”选项卡,您可以看到4个选项访问对象:
列出对象
,写入对象
,以及访问此存储桶的ACL:读取存储桶权限
,Write bucket permissions
。如果启用read/Write bucket permissions
=>full permissions,其他用户可以将您的bucket ACL=>重新配置为