如何通过 IAM 共享具有 MFA 保护的 Amazon S3 内容?

【问题标题】:How can I share Amazon S3 content with MFA protection via IAM?如何通过 IAM 共享具有 MFA 保护的 Amazon S3 内容?
【发布时间】:2013-04-05 23:25:11
【问题描述】:

我喜欢与会员分享我的Amazon S3 私人内容。最初我通过创建一个AWS Identity and Access Management (IAM) 用户帐户来做到这一点,但人们开始传递这些凭据。

所以我发现我可以将AWS Multi-Factor Authentication (MFA) 令牌/fob 分发给通过 IAM 创建的每个用户帐户。但是,测试表明我仍然可以下载文件,S3 不会要求令牌/fob 生成的 6 位数字。

我在这里缺少什么?或者,如果我走错了路,请提出一种检测/防止成员共享这些凭据的方法。谢谢

【问题讨论】:

    标签: amazon-web-services amazon-s3 amazon-iam


    【解决方案1】:

    您需要专门为您要保护的资源(即您的案例中的 S3 内容)指定 Configure MFA-Protected API Access,请参阅关于 MFA-Protected API Access 的介绍性博客文章,了解此功能的工作原理。

    幸运的是,有一些Adding a Bucket Policy to Require MFA Authentication 的示例可用 - 请阅读该部分了解详细信息,但第一个示例已经解决了您的用例(第三个示例通过添加条件来扩展它限制持续时间aws:MultiFactorAuthAge 密钥有效):

    {
   "Version": "2008-10-17",
   "Id": "123",
   "Statement": [
      {
         "Sid": "",
         "Effect": "Deny",
         "Principal": { "AWS": "*" },
         "Action": "s3:**",
         "Resource": "arn:aws:s3:::examplebucket/taxdocuments/*",
         "Condition": { "Null": { "aws:MultiFactorAuthAge": true }}
      }
   ]
}

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2011-08-24
      • 1970-01-01
      • 2012-02-09
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2012-06-14
      • 2014-02-07
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode