Amazon S3: Akses Bucket S3, tetapi bucket produksi ditolak tanpa baru-baru ini MFA - AWS Identity and Access Management

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Amazon S3: Akses Bucket S3, tetapi bucket produksi ditolak tanpa baru-baru ini MFA

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan administrator Amazon S3 mengakses bucket apa pun, termasuk memperbarui, menambahkan, dan menghapus objek. Namun, secara eksplisit menolak akses ke amzn-s3-demo-bucket-production bucket jika pengguna belum masuk menggunakan otentikasi multi-faktor (MFA) dalam tiga puluh menit terakhir. Kebijakan ini memberikan izin yang diperlukan untuk melakukan tindakan ini di konsol atau secara terprogram menggunakan AWS CLI atau AWS API. Untuk menggunakan kebijakan ini, ganti italicized placeholder text dalam contoh kebijakan dengan informasi Anda sendiri. Lalu, ikuti petunjuk di buat kebijakan atau ubah kebijakan.

Kebijakan ini tidak pernah mengizinkan akses terprogram ke bucket amzn-s3-demo-bucket menggunakan access key pengguna. Hal ini dicapai menggunakan kunci kondisi aws:MultiFactorAuthAge dengan operator kondisi NumericGreaterThanIfExists. Kondisi kebijakan ini kembali true jika MFA tidak ada atau jika usia MFA lebih dari 30 menit. Dalam situasi tersebut, akses ditolak. Untuk mengakses amzn-s3-demo-bucket-production bucket secara terprogram, administrator S3 harus menggunakan kredenal sementara yang dihasilkan dalam 30 menit terakhir menggunakan operasi. GetSessionTokenAPI

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListAllS3Buckets",
            "Effect": "Allow",
            "Action": ["s3:ListAllMyBuckets"],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketLevelActions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketObjectActions",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws:s3:::*/*"
        },
        {
            "Sid": "RequireMFAForProductionBucket",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-production/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-production"
            ],
            "Condition": {
                "NumericGreaterThanIfExists": {"aws:MultiFactorAuthAge": "1800"}
            }
        }
    ]
}