Oddělení datových úložišť CESNET

Postranní lišta

cs:navody:object_storage:cesnet_s3_share_bucket

Obsah

Použití bucket policy pro sdílení bucketů

Špatné nastavení Bucket Policy může vést k veřejnému sdílení. Doporučujeme provést kontrolní test nastavení, případně vaše záměry nejdříve konzultovat se správci úložiště.

Nastavení Bucket Policy pomocí nástroje aws

Aby bylo možné provést nastavení pomocí nástroje aws je nutné nejdříve provést příslušnou instalaci a konfiguraci podle tohoto návodu.

Nastavení Bucket Policy uložené v souboru: 

aws s3api put-bucket-policy --profile test_user --endpoint-url https://s3.cl2.du.cesnet.cz --bucket BUCKET-NAME --policy file://C:/Users/User/Downloads/example_policy_tenant-ro.json
V případě aplikace Bucket Policy na Linuxu je nutné definovat cestu k souboru s Bucket Policy následovně: 
aws s3api put-bucket-policy --profile test_user --endpoint-url https://s3.cl2.du.cesnet.cz --bucket BUCKET-NAME --policy file:///home/user/Downloads/example_policy_tenant-ro.json

Vypsání Bucket Policy na daném bucketu: 

aws s3api get-bucket-policy --profile test_user --endpoint-url https://s3.cl2.du.cesnet.cz --bucket BUCKET-NAME

Odebrání Bucket Policy na daném bucketu: 

aws s3api delete-bucket-policy --profile test_user --endpoint-url https://s3.cl2.du.cesnet.cz --bucket BUCKET-NAME

Nastavení Bucket Policy pomocí nástroje s3cmd

Aby bylo možné provést nastavení pomocí nástroje s3cmd je nutné nejdříve provést příslušnou instalaci a konfiguraci podle tohoto návodu.

Nastavení Bucket Policy uložené v souboru: 

s3cmd -c ~/.s3cfg_test_user setpolicy /home/user/bucket_policy.json s3://BUCKET-NAME

Vypsání Bucket Policy na daném bucketu 

s3cmd -c ~/.s3cfg_test_user info s3://BUCKET-NAME

Odebrání Bucket Policy na daném bucketu: 

s3cmd -c ~/.s3cfg_test_user delpolicy s3://BUCKET-NAME

Příklady Bucket policy pro nejčastější případy užití

Níže naleznete příklady 3 základních Bucket Policy. Jendá se o sdílení v rámci tentnatu pro read-only a read-write a nakonec pro veřejné sdílení (public).

Pro sdílení v rámci tenantu je důležité v json souboru Bucket Policy správně vyplnit název tenantu do hodnoty atributu "Principal": {"AWS": ["TENANT-NAME"]}. Název tenantu jste obdrželi společně s přístupovými údaji k vašemu S3 účtu, viz níže. Jedná se o hodnotu uvedenou u atributu "user" před znakem dolaru, v našem příkladě tedy: "354dasf3_db44_4dsa_a9b9_24ae65476". 
"keys": [
          {
            "user": "354dasf3_db44_4dsa_a9b9_24ae65476$136aadsdas57d4asdrt5hzuuzc",
            "access_key": "hash_access_key_hash",
            "secret_key": "hash_secret_key_hash"
          }
        ]
Níže jsou uvedeny příklady jednotlivých Bucket Policy. NEZAPOMEŇTE v příslušných json souborech v poli „Resource“ změnit název „BUCKET-NAME“ na jmnéno vašeho bucketu, na kterém si přejete nastavit příslušnou Bucket Policy.

Příklad sdílení v rámci tenantu read-only

example_policy_tenant-ro.json
  {
    "Statement":[
      {
        "Sid":"* on bucket-tenant-ro policy",
        "Effect":"Allow",
        "Principal": {"AWS": ["TENANT_NAME"]},
        "Action": ["s3:ListBucket","s3:GetObject"],
        "Resource":[ "arn:aws:s3:::BUCKET-NAME", "arn:aws:s3:::BUCKET-NAME/*" ]
      }
    ]
  }

Příklad sdílení v rámci tenantu read-write

example_policy_tenant-rw.json
  {
    "Statement":[
      {
        "Sid":"* on bucket-tenant-rw policy",
        "Effect":"Allow",
        "Principal": {"AWS": ["TENANT_NAME"]},
        "Action": ["s3:ListBucket","s3:GetObject","s3:PutObject","s3:DeleteObject"],
        "Resource":[ "arn:aws:s3:::BUCKET-NAME", "arn:aws:s3:::BUCKET-NAME/*" ]
      }
    ]
  }

Příklad read-write sdílení s jedním uživatelem resp. servisním účtem

example_policy_user-rw.json
  {
    "Statement":[
      {
        "Sid":"RW for user on bucket policy",
        "Effect":"Allow",
        "Principal": {
          "AWS": [
            "arn:aws:iam::TENANT_NAME:user/BUCKET_OWNER",
            "arn:aws:iam::TENANT_NAME:user/RW_USER"
          ]
        },
        "Action": ["s3:ListBucket","s3:GetObject","s3:PutObject","s3:DeleteObject"],
        "Resource":[ "arn:aws:s3:::BUCKET-NAME", "arn:aws:s3:::BUCKET-NAME/*" ]
      }
    ]
  }

kde:
TENANT_NAME je třeba nahradit názvem tenantu;
BUCKET_OWNER je třeba nahradit jménem uživatele, který vlastní bucket, aby měl práva k objektům, které nahrají jiní oprávnění uživatelé;
RW_USER je třeba nahradit jménem uživatele (resp. servisní identity), pro kterého je sdílení konfigurováno; BUCKET-NAME je třeba nahradit názvem bucketu.

Příklad veřejného sdílení (public)

example_policy_public.json
  {
    "Statement":[
      {
        "Sid":"* on bucket-tenant-public policy",
        "Effect":"Allow",
        "Principal": "*",
        "Action": ["s3:ListBucket","s3:GetObject"],
        "Resource":[ "arn:aws:s3:::BUCKET-NAME", "arn:aws:s3:::BUCKET-NAME/*" ]
      }
    ]
  }
Pokud nastavíte veřejné sdílení na vašem bucketu, tak můžete ověřit přístup pomocí webového prohlížeče tím, že půjdete na adresu bucketu. Potřebujete však opět zadat hodnotu uvedenou u atributu user před znakem dolaru v souboru s přístupovými klíči, v našem příkladě tedy: 354dasf3_db44_4dsa_a9b9_24ae65476 a nahradit string BUCKET-NAME jménem vašeho bucketu. 
https://s3.cl2.du.cesnet.cz/354dasf3_db44_4dsa_a9b9_24ae65476:BUCKET-NAME/
Pokud potřebujete nastavit nějakou podrobnější Bucket Policy, například přístup pouze z určité IP adresy, sdílet pouze určitému uživateli, tak se neváhejte obrátit na správce úložiště. Připravíme pro vás příslušný json soubor s nastavením, které potřebujete.
Poslední úprava:: 27.11.2023 10:00

Rychlé odkazy

Kontakt

CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz

Stálá služba

Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz

© 1996–2024 CESNET, z. s. p. o.