Amazon S3: accesso al bucket S3, ma bucket di produzione rifiutato senza MFA recente - AWS Identity and Access Management

Amazon S3: accesso al bucket S3, ma bucket di produzione rifiutato senza MFA recente

Questo esempio mostra come creare una policy basata sull'identità che consenta a un amministratore Amazon S3 di accedere a qualsiasi bucket, inclusi l'aggiornamento, l'aggiunta e l'eliminazione di oggetti. Tuttavia, rifiuta esplicitamente l'accesso al bucket amzn-s3-demo-bucket-production se l'utente non ha effettuato l'accesso utilizzando l'autenticazione multi-fattore (MFA) negli ultimi 30 minuti. Questa policy concede le autorizzazioni necessarie per eseguire questa operazione nella console o a livello di programmazione utilizzando la AWS CLI o l'API AWS. Per utilizzare questa policy, sostituisci il testo segnaposto in corsivo nella policy di esempio con le tue informazioni. Quindi, segui le indicazioni fornite in Creazione di una policy o Modifica di una policy.

Questa policy non consente mai l'accesso a livello di programmazione al bucket amzn-s3-demo-bucket utilizzando le chiavi di accesso degli utenti a lungo termine. Questa operazione viene eseguita utilizzando la chiave di condizione aws:MultiFactorAuthAge con l'operatore di condizione NumericGreaterThanIfExists. Questa condizione di policy restituisce true se MFA non è presente o se l'età di MFA è superiore a 30 minuti. In tali situazioni, l'accesso è negato. Per accedere al bucket amzn-s3-demo-bucket-production a livello di codice, l'amministratore S3 deve utilizzare le credenziali temporanee generate negli ultimi 30 minuti utilizzando l'operazione API GetSessionToken .

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListAllS3Buckets",
            "Effect": "Allow",
            "Action": ["s3:ListAllMyBuckets"],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketLevelActions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketObjectActions",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws:s3:::*/*"
        },
        {
            "Sid": "RequireMFAForProductionBucket",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-production/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-production"
            ],
            "Condition": {
                "NumericGreaterThanIfExists": {"aws:MultiFactorAuthAge": "1800"}
            }
        }
    ]
}