Общая информация о политиках доступа

Доступ к бакету можно задать через политику доступа (Bucket policy). Политика состоит из правил, которые разрешают или запрещают действия с ресурсом (бакетом или группой объектов) для всех или выбранных принципалов (пользователей). Основной принцип — если политика доступа создана, запрещено все, что не разрешено.

Политика доступа работает для любого авторизованного доступа. Авторизованным доступом считается просмотр и управление бакетами и их объектами через панель управления и API. Неавторизованным доступом считаются запросы к объектам в публичных бакетах по публичному домену бакета или пользовательским доменам.

Политика доступа имеет ограничение на максимальный размер в 20 КБ.

Политика доступа может распространяться на любого пользователя, которому разрешен доступ к хранилищу в соответствии с ролевой моделью, а также определяет доступ для пользователей с ролями object_storage_user и s3.bucket.user. Подробнее о взаимодействии ролевой модели и политик доступа в инструкции Управлять доступом в S3.

Управлять политиками доступа может Владелец аккаунта и пользователи с ролью member. Если у пользователя с ролью member выбрана область доступа Проекты, у него в разрешении должен быть добавлен соответствующий проект.

Создавать политики доступа и управлять ими можно в панели управления или через S3 API в соответствии с требованиями к структуре политики.

Структура политики доступа

Политика доступа имеет JSON-структуру. Пример политики:

{
  "Id": "my-bucket-policy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowObjectDeletion",
      "Effect": "Allow",
      "Principal": {
          "AWS": [
             "*"
          ]
      },
      "Action": [
        "s3:DeleteObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucket-name",


        "arn:aws:s3:::bucket-name/*",


        "arn:aws:s3:::bucket-name/${aws:userid}/*"


      ],
      "Condition": {
        "StringEquals": {
          "aws:UserAgent": [
            "storage-test-user-agent"
          ]
        }
      }
    },
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::bucket-name/*"


    }
  ]
}

Содержимое политики:

Поле	Описание	Тип данных	Обязательный
Id	Идентификатор политики, может быть любым	Строка	✗
Version	Версия политики доступа, значение — константа: `"2012-10-17"`	Строка	✓
Statement	Массив правил	Массив	✓
Sid	Название правила	Строка	✗
Effect	Тип правила (`Allow` или `Deny`)	Строка	✓
Principal:AWS	Принципалы (идентификаторы пользователей или `*` для всех запросов)	Массив строк или строка	✓
Actions	Действия или `*` для всех действий	Массив строки ли строка	✓
Resources	Ресурсы, на которые действует правило	Массив строк или строка	✓
Condition	Массив условий, представленных в формате: `[оператор]:[ключ]:[массив значений ключа]`	Массив	✗

Правила

Правила бывают двух типов: разрешающие (Allow) и запрещающие (Deny).

Разрешение или запрет распространяется на действия, ресурсы и принципалов, добавленных в правило.

Если политика содержит несколько правил, они применяются следующим образом:

если хотя бы одно разрешающее правило выполняется, доступ будет разрешен;
если хотя бы одно запрещающее правило выполняется, доступ будет запрещен;
если выполняются одновременно разрешающие и запрещающие правила, доступ будет запрещен;
если ни одно правило не выполняется, доступ будет запрещен.

Принципалы

Правило применяется в отношении запросов от принципалов (пользователей):

на авторизованные запросы определенных пользователей, указываются идентификаторы пользователей (посмотреть идентификатор сервисного пользователя можно в панели управления);
на все авторизованные и неавторизованные запросы, обозначается символом *.

Добавлять в качестве принципалов пользователей с доступом в панель управления в политики доступа можно только при настройке политики через панель управления.

Ресурсы

Ресурсы — бакет или набор объектов, на которые будет распространяться правило. Указывать можно только ресурсы, связанные с бакетом, для которого настраивается политика.

Ресурсы можно указывать в форматах:

arn:aws:s3:::<bucket-name> — ресурс бакета, можно указать только один ресурс такого формата (бакет, для которого настраивается политика). Ресурс будет работать для действий, связанных с настройкой бакета, и не распространяется на его объекты;
arn:aws:s3:::<bucket-name>/<prefix> — ресурс объектов бакета, где <prefix> — префикс, на объекты с которым будет распространяться правило. Если указать *, в ресурсы будут включены все объекты бакета;
arn:aws:s3:::<bucket-name>/${<variable-name>} — ресурс объектов бакета, где <variable-name> — имя подстановочной переменной (ключа), которая выполняет роль префикса.

Действия

Если указать *, в правило будут включены все действия.

s3:AbortMultipartUpload	Прерывание сегментированной загрузки объекта через S3 API
s3:DeleteBucket	Удаление бакета
s3:DeleteObject	Удаление объекта
s3:DeleteObjectVersion	Удаление версии объекта
s3:GetBucketCORS	Получение CORS-конфигурации бакета
s3:GetBucketLocation	Получение пула, в котором находится бакет
s3:GetBucketVersioning	Получение информации о версионировании бакета (включено или нет)
s3:GetObject	Чтение объекта
s3:GetObjectVersion	Чтение определенной версии объекта
s3:ListBucket	Чтение списка объектов в бакете (всех или некоторых)
s3:ListBucketMultipartUploads	Чтение списка объектов, которые находятся в процессе сегментированной загрузки через S3 API
s3:ListBucketVersions	Чтение метаданных всех версий объектов в бакете
s3:ListMultipartUploadParts	Чтение списка загруженных частей объекта при сегментированной загрузке через S3 API
s3:PutBucketCORS	Установка CORS-конфигурации бакета
s3:PutBucketVersioning	Подключение и отключение версионирования бакета
s3:PutObject	Добавление объекта в бакет (загрузка или копирование)

Условия

Условие определяет, в каких случаях правило будет работать. Условие состоит из ключа, оператора и значения.

Если в результате выполнения условия возвращается значение true, условие удовлетворяется.

Ключи

Один ключ можно использовать в нескольких условиях. Ключу можно присвоить несколько значений.

aws:CurrentTime	Сравнивает дату и время запроса со значением, указанным в условии
aws:Referer	Сравнивает заголовок Referer в запросе со значением, указанным в условии. Пример: `https://example.com/`
aws:PrincipalType	Задает тип сущности, к которой делается запрос. Возможные значения: `Account` `User` `AssumedRole` `Anonymous`
aws:SecureTransport	Проверяет, был ли запрос отправлен с использованием шифрования SSL/TLS. Возможные значения: `true` или `false`
aws:SourceIp	Сравнивает IP-адрес из запроса со значением из условия
aws:UserAgent	Сравнивает UserAgent из запроса со значением из условия. Примеры значений: `Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0)` `Gecko/20100101` `Firefox/47.0`
aws:userid	Сравнивает идентификатор пользователя со значением из условия. Пример значения: `9103a81de217448d908e53ac60c84acb`
aws:username	Сравнивает имя пользователя со значением из условия
s3:authType	Ограничивает входящие запросы методом аутентификации, указанным в условии. Примеры значений: `REST-HEADER` `REST-QUERY-STRING` `POST`
s3:delimiter	Задает разделитель, который должны включать запросы пользователей. Пример значения: `/`
s3:max-keys	Задает максимальное количество ключей, возвращаемых на запрос ListBucket
s3:prefix	Ограничивает доступ по префиксу в имени ключа
s3:signatureAge	Определяет время действия подписи в запросе аутентификации (в миллисекундах)
s3:signatureversion	Задает версию подписи AWS для запросов аутентификации. Примеры значений: `AWS` `AWS4-HMAC-SHA256`
s3:versionid	Задает доступ к определенной версии объекта. Пример значения: `L4kqtJlcpXroDTDmpUMLUo`
s3:x-amz-content-sha256	Запрещает неподписанное содержимое в запросе
s3:x-amz-copy-source	Ограничивает источник копирования определенным бакетом, префиксом или объектом
s3:x-amz-metadata-directive	Задает принудительный выбор копирования или замены при копировании объектов
s3:x-amz-server-side-encryption	Требует шифрования на стороне сервера
s3:x-amz-storage-class	Ограничивает доступ по классу хранилища

Операторы

Операторы сравнивают значения из запроса к ресурсу со значением, указанным в значении ключа в условии.

Число из запроса сравнивается с числом, указанным в условии.

NumericEquals	Значение равно заданному в условии
NumericGreaterThan	Значение больше заданного в условии
NumericGreaterThanEquals	Значение больше или равно заданному в условии
NumericLessThan	Значение меньше заданного в условии
NumericLessThanEquals	Значение меньше или равно заданному в условии
NumericNotEquals	Значение не равно заданному в условии

Строка из запроса сравнивается со строкой, указанной в условии.

StringEquals	Значение соответствует заданному в условии (с учетом регистра)
StringEqualsIgnoreCase	Значение соответствует заданному в условии (без учета регистра)
StringLike	Значение соответствует шаблону, заданному в условии. Используйте символы для подстановки: `*` — нескольких символов; `?` — одного символа
StringNotEqualsThan	Значение не соответствует заданному в условии (с учетом регистра)
StringNotEqualsIgnoreCase	Значение не соответствует заданному в условии (без учета регистра)
StringNotLike	Значение не соответствует заданному в условии шаблону. Используйте символы для подстановки: `*` — нескольких символов; `?` — одного символа

Дата и время из запроса сравнивается с датой и временем, указанными в условии.

DateEquals	Соответствует заданной дате
DateGreaterThan	Соответствует дате позже, чем заданная
DateGreaterThanEquals	Соответствует заданной дате или дате позже
DateLessThan	Соответствует дате раньше, чем заданная
DateLessThanEquals	Соответствует заданной дате или дате раньше
DateNotEquals	Не соответствует заданной дате

IP-адрес в формате CIDR из запроса сравнивается с IP-адресом из условия.

IPAddress	Значение ключа соответствует заданному IP-адресу или входит в диапазон адресов
NotIPAddress	Значение ключа не соответствует заданному IP-адресу или не входит в диапазон адресов

Оператор Bool сравнивает логическое значение из запроса (true или false) со значением из ключа.

Условие удовлетворяется, если значение из запроса соответствует значению из условия.

Оператор IfExists позволяет смягчить условие в случае, если указанный в условии ключ отсутствует в запросе.

IfExists можно использовать только совместно с другими операторами (кроме Null). Формат добавления: <имя оператора>IfExists — например, StringEqualsIfExists.

Тип данных соответствует типу данных оператора, к которому добавляется IfExists.

Удовлетворение условия с IfExists зависит от того, присутствует ли ключ из запроса в условии:

если ключ присутствует, условие обрабатывается по правилам оператора, с которым использовался IfExists и может принять значение true или false;
если ключ отсутствует, условие принимает значение true.

Оператор Null проверяет наличие ключа из запроса в условии.

Тип данных — boolean.

Условие с оператором Null удовлетворяется:

если в запросе отсутствует ключ из условия;
если ключ присутствует в запросе, но его значение не указано.