我应该授予什么aws权限才能访问其他s3存储桶
在本文档(https://docs.aws.amazon.com/eks/latest/userguide/install-aws-iam-authenticator.html)的linux选项卡中,亚马逊网络服务共享了s3存储桶以下载最新版本的aws-iam-authenticator
此链接在新版本发布时会一直更改,但存储桶名称amazon-eks永远不会更改。
curl -o aws-iam-authenticator https://amazon-eks.s3-us-west-2.amazonaws.com/1.21.2/2021-07-05/bin/linux/amd64/aws-iam-authenticator如果没有aws API权限,您无法通过编程方式检测此文件夹中的新版本,如果我通过浏览器直接访问:https://amazon-eks.s3-us-west-2.amazonaws.com/1.21.2/2021-07-05/bin/linux
因此,我必须使用我自己的AWS访问密钥,这是允许的。
aws s3 ls s3://amazon-eks/1.21.2/2021-07-05/bin/linux/amd64/
2021-07-15 08:56:11 35290752 aws-iam-authenticator
2021-07-15 08:56:31 55 aws-iam-authenticator.md5
2021-07-15 08:56:31 63 aws-iam-authenticator.sha1
2021-07-15 08:56:31 87 aws-iam-authenticator.sha256
2021-07-15 08:56:31 1865035 cni-amd64-v0.6.0.tgz
2021-07-15 08:56:36 54 cni-amd64-v0.6.0.tgz.md5
2021-07-15 08:56:36 62 cni-amd64-v0.6.0.tgz.sha1
2021-07-15 08:56:36 86 cni-amd64-v0.6.0.tgz.sha256
2021-07-15 08:56:36 36878412 cni-plugins-linux-amd64-v0.8.6.tgz
2021-07-15 08:57:09 68 cni-plugins-linux-amd64-v0.8.6.tgz.md5
2021-07-15 08:57:09 76 cni-plugins-linux-amd64-v0.8.6.tgz.sha1
2021-07-15 08:57:09 100 cni-plugins-linux-amd64-v0.8.6.tgz.sha256
2021-07-15 08:57:09 43122688 kube-proxy
2021-07-15 08:57:43 44 kube-proxy.md5
2021-07-15 08:57:43 52 kube-proxy.sha1
2021-07-15 08:57:43 76 kube-proxy.sha256
2021-07-15 08:57:43 46403584 kubectl
2021-07-15 08:58:23 41 kubectl.md5
2021-07-15 08:58:23 49 kubectl.sha1
2021-07-15 08:58:23 73 kubectl.sha256
2021-07-15 08:58:23 118197040 kubelet
2021-07-15 08:59:44 41 kubelet.md5
2021-07-15 08:59:44 49 kubelet.sha1
2021-07-15 08:59:44 73 kubelet.sha256现在我的问题是,我如何设置一个AWS IAM用户只使用Programmatic access,它不能访问我的aws帐户中的任何资源,但允许列出公共/私有s3存储桶中的内容?
我需要将此IAM用户的访问密钥用于公共CICD管道构建作业,我不想冒险公开我自己的aws帐户中的资源。
更新
这是该用户的内联策略
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amazon-eks/*"
}
]
}回答 2
Stack Overflow用户
发布于 2021-07-24 09:45:21
您似乎希望在不使用凭据的情况下列出amazon-eks存储桶的内容。
这可以通过使用--no-signed-request选项来完成:
aws s3 ls s3://amazon-eks/1.21.2/2021-07-05/bin/linux/amd64/ --no-sign-request这样就不需要提供IAM凭证。
Stack Overflow用户
发布于 2021-07-24 09:56:08
我最终找到了IAM用户的权限,但很明显@John Rotenstein的解决方案是更好的方法。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::amazon-eks/*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::amazon-eks"
}
]
}有了上面的权限,我就可以在没有我自己的s3账户权限的情况下列出aws存储桶amazon-eks中的内容。
https://stackoverflow.com/questions/68506342
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号