Amazon S3: S3-Bucket-Zugriff, aber Produktions-Bucket ohne aktuelle Informationen verweigert MFA - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon S3: S3-Bucket-Zugriff, aber Produktions-Bucket ohne aktuelle Informationen verweigert MFA

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die einem Amazon-S3-Administrator den Zugriff auf jeden Bucket erlaubt, einschließlich dem Aktualisieren, Hinzufügen und Löschen von Objekten. Es verweigert jedoch ausdrücklich den Zugriff auf den amzn-s3-demo-bucket-production Bucket, wenn sich der Benutzer innerhalb der letzten dreißig Minuten nicht mit der Multi-Faktor-Authentifizierung (MFA) angemeldet hat. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion in der Konsole oder programmgesteuert mithilfe von AWS CLI or AWS API. Um diese Richtlinie zu verwenden, ersetzen Sie das italicized placeholder text in der Beispielrichtlinie durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter Erstellen einer Richtlinie oder Bearbeiten einer Richtlinie.

Diese Richtlinie ermöglicht niemals den programmgesteuerten Zugriff auf den amzn-s3-demo-bucket-Bucket mit langfristig geltenden Benutzerzugriffsschlüsseln. Dies wird mit dem aws:MultiFactorAuthAge-Bedingungsschlüssel mit dem NumericGreaterThanIfExists-Bedingungsoperator erreicht. Diese Versicherungsbedingung MFA wird zurückgegeben, true wenn sie nicht vorhanden ist oder wenn das MFA Alter von mehr als 30 Minuten beträgt. In diesen Situationen wird der Zugriff verweigert. Um programmgesteuert auf den amzn-s3-demo-bucket-production Bucket zuzugreifen, muss der S3-Administrator temporäre Anmeldeinformationen verwenden, die in den letzten 30 Minuten mithilfe des GetSessionTokenAPIVorgangs generiert wurden.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListAllS3Buckets",
            "Effect": "Allow",
            "Action": ["s3:ListAllMyBuckets"],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketLevelActions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketObjectActions",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws:s3:::*/*"
        },
        {
            "Sid": "RequireMFAForProductionBucket",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-production/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-production"
            ],
            "Condition": {
                "NumericGreaterThanIfExists": {"aws:MultiFactorAuthAge": "1800"}
            }
        }
    ]
}