我必须为 S3 中的文件生成只读和只写令牌。到目前为止我尝试了什么:创建一个对引用中的存储桶具有读写访问权限的 IAM 角色创建 STS 客户端承担 STS 客户端在步骤 #1 中创建的 IAM 角色使用 sts 客户端生成凭据这是做什么的让用户使用令牌访问 S3 中的文件但这种访问不限于只读或只写此外,如果 IAM 角色可以访问更多存储桶,令牌将访问所有存储桶创建STS客户端AWSSecurityTokenServiceClient sts_client = (AWSSecurityTokenServiceClient) AWSSecurityTokenServiceClientBuilder.standard()
.withRegion(Regions.DEFAULT_REGION).build();创建代入角色请求AssumeRoleRequest assumeRoleRequest = new AssumeRoleRequest()
.withRoleArn("arn:aws:iam::123456789123:role/iam-role-name")
.withDurationSeconds(7200)
.withRoleSessionName("session-role-"+System.currentTimeMillis());生成令牌请求GetSessionTokenRequest session_token_request = new GetSessionTokenRequest();生成代币GetSessionTokenResult session_token_result = sts_client.getSessionToken(session_token_request);创建凭据Credentials session_creds = session_token_result.getCredentials();创建基本凭据BasicSessionCredentials sessionCredentials = new BasicSessionCredentials(
session_creds.getAccessKeyId(),
session_creds.getSecretAccessKey(),
session_creds.getSessionToken());期待能够生成只读和只写令牌能够生成路径特定的令牌令牌仅限于引用中的资源,而不是 IAM 角色中附加的所有存储桶
2 回答
慕标5832272
TA贡献1966条经验 获得超4个赞
我找到了解决方案。
创建一个 STS 客户端并承担一个给定的角色,并有权访问所有必需的存储桶
在获取令牌之前创建一个内联策略并附加到 STS 客户端
使用 STS 客户端进行 getSessionToken 调用
是做什么的:
允许访问受在线策略中给定路径限制的特定资源
它还限制了在线策略中提到的读取或写入访问
湖上湖
TA贡献2003条经验 获得超2个赞
be able to generate read only and write only tokens
您需要为只读和只写定义不同的角色。恕我直言,您不能仅使用一个角色来构建您的用例。
be able to generate path specific tokens
该角色可以包括对特定 S3 密钥(文件名)的引用,例如:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:Get*", "s3:List*"],
"Resource": [
"arn:aws:s3:::MyExampleBucket",
"arn:aws:s3:::MyExampleBucket/mypath/myfile.txt"
]
}
]
}
添加回答
举报
0/150
提交
取消