Amazon Simple Storage Service (S3) 是 Amazon Web Services (AWS) 提供的使用最广泛的服务之一。它是一种安全且可扩展的基于对象的存储解决方案。大多数组织拥有多个 AWS 账户来管理不同的环境、项目或团队。因此,S3 存储桶可能需要同时跨多个 AWS 账户进行管理。这将有助于在一个集中的中心位置改善数据控制,并增强不同团队或项目之间的协作工作。
在本文中,我们将引导你完成从另一个 AWS 账户访问 S3 存储桶的过程。当你读完本文时,你将了解关键术语,并深入了解如何通过扩展的程序配置来设置必要的权限和角色。在阅读完本指南后,你将能够自信地建立并实施对 S3 存储桶的跨账户访问,确保适当的实体获得适当的访问权限。正确地做到这一点至关重要,这样你既可以确保账户安全,又不会从运维角度将它们变成难以管理的庞然大物。本指南通过清晰的指导和示例,帮助从初学者到经验丰富的 AWS 用户处理跨账户的复杂性。
主要术语
- S3 存储桶是许多对象的集合;在 Amazon 文档中没有对此设置限制。它是存储所有对象的容器;一个存储桶包含多个对象,从而构成了存储桶。
IAM (Identity and Access Management,身份和访问管理)
- IAM 是一项 Web 服务,用于安全地控制访问并管理用户,以访问 AWS 套件中的服务。你可以管理用户、组、角色及其对任何 AWS 服务的相对访问权限。IAM 确保只有授权和有效的条目才能访问你的数据条目。
IAM 角色
- 在 IAM 中,角色是一个 AWS 身份,它拥有权限策略,当这些策略被附加时,会向任何担任该角色的人授予某些操作权限。角色旨在由其他实体(如 IAM 用户、应用程序或 AWS 服务)担任。IAM 角色在跨账户访问中的好处是:用户可以在 IAM 角色的帮助下,使用一个账户向另一个账户授予临时权限。
策略
- 策略是一个定义权限的 JSON 文档。策略描述了委托人对资源可以执行或不可以执行的操作。策略可以附加到 IAM 用户、组或角色。策略包括托管策略、内联策略和基于资源的策略(或存储桶策略)。
信任策略
- IAM 角色中的信任策略明确指出了哪些实体(如果有)可以担任该 IAM 角色。信任策略的一个显著特性是它们允许跨账户使用角色。
AssumeRole
- AssumeRole 是 AWS Security Token Service(AWS 安全令牌服务)的一项操作,该操作会复制并返回一组临时安全凭证。这些凭证用于 IAM 角色,并包含附加到该角色的权限。这是另一种在行动中的权限,它允许另一个账户中的实体通过临时授权权限来担任你账户中的角色,从而实现跨账户访问操作。
临时凭证
- 临时凭证由访问密钥 ID、秘密访问密钥和会话令牌组成。这些是授权详细信息,类似于身份验证的结果以及通过担任 IAM 角色 获得的访问 Bean,该角色源自 AWS Security Token Service (STS)。对 AWS 资源的临时、有限权限访问降低了与长期凭证相关的风险。
从另一个 AWS 账户访问 S3 存储桶的分步过程
步骤 1:在目标账户(账户 B)中创建 IAM 角色
在这里,我们假设有两个 AWS 账户,即账户 A 和账户 B。
- 首先,登录账户 B 的 AWS 管理控制台。
- 导航到 IAM 服务。
!iam Dashboard.png)
#### 创建一个新角色:
- 点击左侧边栏中的“Roles”(角色)。
- 点击“Create role”(创建角色)按钮。
#### 选择受信任实体:
在“Trusted entity”(受信任实体)类型中选择“AWS Account”(AWS 账户)。
- 在 AWS Account 中,选择“Another AWS account”(另一个 AWS 账户)。
- 输入源账户(账户 A)的 Account ID。
#### 附加策略:
- 选择“AmazonS3FullAccess”策略,或者创建一个具有特定权限的自定义策略,并将其附加到该角色。