Перейти к основному содержимому

Управлять доступом в S3

Последнее изменение:

Доступ к ресурсам S3 регулируется:

При получении запроса на действие в S3 сначала проверяется доступ по ролевой модели. Если ролевая модель разрешает доступ, проверяется политика доступа, если нет — доступ запрещается.

Для доступа через API или по FTP выдайте ключи.

Доступ в рамках ролевой модели

S3 поддерживает ролевую модель:

  • Владелец аккаунта — имеет полный доступ ко всем проектам и управлению всеми ресурсами S3 и других продуктов в аккаунте через панель управления, а также управлению пользователями;
  • Администратор аккаунта — имеет полный доступ ко всем проектам и управлению всеми ресурсами S3, кроме пользователей;
  • Администратор пользователей — может создавать пользователей и не имеет доступа к ресурсам S3;
  • Администратор проекта — имеет полный доступ к управлению S3 и другими продуктами в проекте, кроме управления пользователями;
  • Наблюдатель аккаунта — может просматривать ресурсы S3 и других продуктов во всех проектах;
  • Наблюдатель проекта — может просматривать ресурсы S3 и других продуктов в своем проекте;
  • Администратор S3 — имеет полный доступ к управлению S3 в проекте без доступа к другим продуктам и управлению пользователями;
  • Пользователь S3 — по умолчанию не имеет доступа к просмотру и управлению ресурсами S3. Он получает доступ к управлению объектами тех бакетов, для которых настроена политика доступа, если правила политики разрешают доступ этому пользователю.
Владелец аккаунтаАдминистратор аккаунтаАдминистратор пользователейАдминистратор проектаНаблюдатель аккаунтаНаблюдатель проекта
Просмотр списка бакетов в панели управления(в рамках проекта)(в рамках проекта)
Чтение бакетов в панели управления(в рамках проекта)(в рамках проекта)
Загрузка объектов в бакет через панель управления(в рамках проекта)
Изменение настроек бакета в панели управления(в рамках проекта)
Создание пользователей с доступом в S3 в панели управления
Выдача S3-ключей пользователям в панели управления
Подключение к хранилищу через инструменты
Настройка политики доступа в панели управления(в рамках проекта)

Доступ в рамках политики доступа

Если роль пользователя предусматривает доступ к S3, доступ к конкретному бакету зависит от наличия и настроек политики доступа:

  • если политика доступа не создана, доступ будет разрешен всем пользователям с доступом в рамках ролевой модели, кроме роли Пользователь S3;
  • если политика доступа создана, запрещено все, что не разрешено правилами политики.

Подробнее о работе политики доступа в разделе Политика доступа.

Ключи для доступа через API

В зависимости от типа API пользователю понадобится:

Выдать S3-ключ пользователю

к сведению

Чтобы S3-ключ (EC2-ключ) работал, у пользователя должна быть роль с доступом в S3.

Пользователи панели управления могут выдавать себе S3-ключи самостоятельно, но мы рекомендуем создавать сервисных пользователей и использовать ключи совместно с ними.

Выдавать S3-ключи другим пользователям может только Владелец аккаунта или Администратор пользователей. Сервисный пользователь не может получить S3-ключ самостоятельно, потому что у него нет доступа в панель управления — ему должен выдать ключ Владелец аккаунта или Администратор пользователей.

Для каждого проекта необходимо создавать отдельный ключ. На один проект можно выпустить несколько ключей.

  1. В панели управления в верхнем меню нажмите Аккаунт.

  2. Перейдите в раздел с нужным типом пользователей:

    • Пользователи — для пользователей панели управления;
    • Сервисные пользователи — для сервисных пользователей.

  3. Откройте страницу пользователя → вкладка Доступ .

  4. В блоке S3-ключи нажмите Добавить ключ.

  5. Введите имя ключа.

  6. Выберите проект, для которого будет работать ключ.

  7. Нажмите Сгенерировать. Будет сгенерировано два значения:

    • Access key — Access Key ID, идентификатор ключа;
    • Secret key — Secret Access Key, секретный ключ.

  8. Нажмите Скопировать и сохраните ключ — после закрытия окна его нельзя будет просмотреть.