Amazon S3 如何授权对象操作的请求 - Amazon Simple Storage Service

Amazon S3 如何授权对象操作的请求

当 Amazon S3 接收对象操作的请求时,它会将所有相关权限转换为一组策略在运行时进行评估,这些相关权限包括:基于资源的权限(对象访问控制列表(ACL)、存储桶策略、存储桶 ACL)和 IAM 用户策略。然后它会通过一系列步骤评估生成的策略集。在每个步骤中,它会在三个特定上下文(用户上下文、存储桶上下文和对象上下文)中评估一个策略子集:

  1. 用户上下文 – 如果请求者是 IAM 主体,则主体必须具有来自所属的父 AWS 账户 的权限。在此步骤中,Amazon S3 会评估由父账户 (也称为上下文机构) 拥有的一个策略子集。该策略子集包括父账户附加到主体的用户策略。如果父账户也拥有请求中的资源(存储桶或对象),则 Amazon S3 会同时评估相应资源策略(存储桶策略、存储桶 ACL 和对象 ACL)。

    注意

    如果父 AWS 账户拥有资源(存储桶或对象),则该账户可以使用用户策略或资源策略为其 IAM 主体授予资源权限。

  2. 存储桶上下文 – 在此上下文中,Amazon S3 评估拥有该存储桶的 AWS 账户所拥有的策略。

    如果拥有请求中的对象的 AWS 账户与存储桶拥有者不同,则 Amazon S3 会检查策略,查看存储桶拥有者是否已显式拒绝对该对象的访问。如果对该对象设置了显式拒绝,则 Amazon S3 不对请求授权。

  3. 对象上下文 – 请求者必须拥有来自对象拥有者的权限才能执行特定对象操作。在此步骤中,Amazon S3 将评估对象 ACL。

    注意

    如果存储桶和对象拥有者相同,则可以在存储桶策略中授予对该对象的访问权限,并会在存储桶上下文中对此进行评估。如果拥有者不同,则对象拥有者必须使用对象 ACL 授予权限。如果拥有对象的 AWS 账户 也是 IAM 主体所属的父账户,则该账户可以在用户策略中配置对象权限,将在用户上下文中对其进行评估。有关使用这些备选访问策略的更多信息,请参阅 演练:使用策略管理针对 Amazon S3 资源的访问权限

    如果您作为存储桶拥有者想拥有存储桶中的所有对象,并使用存储桶策略或基于 IAM 的策略来管理对这些对象的访问,则可以应用对象所有权的强制存储桶拥有者设置。使用此设置,您作为存储桶拥有者自动拥有并完全控制存储桶中的每个对象。无法编辑存储桶和对象 ACL,也不再考虑访问。有关更多信息,请参阅 为您的存储桶控制对象所有权和禁用 ACL。

下面是基于上下文来评估对象操作的图解说明。

图中显示了对于对象操作进行基于上下文的评估。

对象操作请求示例

在此示例中,IAM 用户 Jill(其父 AWS 账户是 1111-1111-1111)针对 AWS 账户 3333-3333-3333 拥有的对象发送对象操作请求(例如,GetObject),该对象位于由 AWS 账户 2222-2222-2222 拥有的存储桶中。

图中显示了对象操作请求。

Jill 需要从父 AWS 账户、存储桶拥有者和对象拥有者获得权限。Amazon S3 通过以下方式评估上下文:

  1. 由于请求来自 IAM 主体,因此,Amazon S3 评估用户上下文以验证父 AWS 账户 1111-1111-1111 是否为 Jill 授予了权限以执行请求的操作。如果她拥有该权限,则 Amazon S3 评估存储桶上下文。否则,Amazon S3 拒绝该请求。

  2. 在存储桶上下文中,存储桶拥有者(AWS 账户 2222-2222-2222)是上下文机构。Amazon S3 对存储桶策略进行评估以确定存储桶拥有者是否显式拒绝了 Jill 对该对象的访问。

  3. 在对象上下文中,上下文机构是 AWS 账户 3333-3333-3333,即对象拥有者。Amazon S3 评估对象 ACL 以确定 Jill 是否拥有访问该对象的权限。如果她拥有该权限,则 Amazon S3 对该请求进行授权。