Format på policy
AWS sine policydokumenter er vanligvis på JSON-form, og er på følgende form:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowBasics",
"Effect": "Allow",
"Action": [
"s3:HeadObject",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::1003-green-bucket-1",
"arn:aws:s3:::1003-green-bucket-1/*",
"arn:aws:s3:::1003-green-bucket-2",
"arn:aws:s3:::1003-green-bucket-2/*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"127.0.0.1",
"127.0.0.2"
]
}
}
}
]
}
Kort fortalt viser version hvilken språksyntaks policien skal følge, hvorav gjeldende standard er "2012-10-17". Under statement finner vi komponentene som tilsier hvilke tilganger som gjelder, og på hva:
- Sid: Forklarende navn på policiens funksjon. Valgfritt.
- Effect: Behold denne på "Allow".
- Action: En liste over hvilke s3-kall som skal være tillatt. Sett eventuelt "*" for alle.
- Resource: En liste over hvilke bøtter IAM-brukeren skal ha tilgang til. Her må det både angis bøttenavn, og bøttenavn/* for å gi tilgang til objekter.
- Condition: Valgfritt, kan legge til betingelser for tilgang. Vi bruker for IP-whitelisting.
Se Templater for avsnitt med flere eksempler du kan ta utgangspunkt i.
Opprettelse av policy i CMC'en
Naviger til IAM -> IAM policy -> Add New Policy. Tilsvarende som for IAM-brukere, fyll inn et passende navn, og hjemmeområde "/":
Når du klikker på "Policy Document", vil det poppe opp et vindu hvor du har mulighet til å velge rettigheter i en visuell editor. Som et utgangspunkt anbefaler vi å bytte til "JSON-fanen", hvor du kan kopiere inn et av templatene.
Eksempel med full tilgang for bøtten "1003-green-markusor-test":
Fyll inn dine detaljer i henhold til templatene, eller bytt tilbake til "Visual Editor" hvor detaljene fra json-dokumentet nå skal være fylt inn.
Tilknytning av policy til IAM-bruker
Etter å ha opprettet en policy klikker du på den, og naviger til "IAM Users"-fanen.
Klikk på "+ Attach to user", så har du en søkbar dropdown-meny på venstre side hvor du fyller inn hvilken IAM-bruker som policien skal være tilknyttet til:
Følgelig skal dette nå være synlig under som en "Managed policy" på siden til IAM-brukeren:
Templater
Dette er .json-dokumenter som kan copy-pastes inn i redigeringsmodusen.
Husk å bytte ut med dine bøttenavn og eventuelle IP'er det skal begrenses til.
For full liste med supporterte s3-actions:
For å holde bøtten helt enkel og uten muligheter til å legge på spesielle metadataattributter e.l, så vil de fire aksjonene i første eksempelet være tilstrekkelig for de fleste tilfeller.
Dersom det er behov for flere opsjoner kan en ta utgangspunkt i templatene under.
Full tilgang
Tillater alle s3-actions for en angitt liste bøtter og IP'er.
Dette er dessuten standard for rw-policien som settes for røde bøtter.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAll",
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::<bøttenavn>",
"arn:aws:s3:::<bøttenavn>/*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"<IP 1>",
"<IP 2>"
]
}
}
}
]
}
Read-only
En kan også benytte wildcards (*) for å inkludere et snitt av tillatte s3-kommandoer.
Det gjør at vi f.eks kan begrense tilgang til alle Get, Liste, og Head (read-only, om du vil) slik:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadOnly",
"Effect": "Allow",
"Action": [
"s3:List*",
"s3:Head*",
"s3:Get*"
],
"Resource": [
"arn:aws:s3:::<bøttenavn>",
"arn:aws:s3:::<bøttenavn>/*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"<IP 1>",
"<IP 2>"
]
}
}
}
]
}
Kan også være nyttig å legge inn "s3:Delete*" dersom en ønsker å slette leste objekter for staging-bøtter e.l.
Write-only
På tilsvarende vis:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadOnly",
"Effect": "Allow",
"Action": [
"s3:List*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::<bøttenavn>",
"arn:aws:s3:::<bøttenavn>/*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"<IP 1>",
"<IP 2>"
]
}
}
}
]
}