Просмотр, добавление и удаление политики

Просмотреть текущую политику

Веб-консоль
AWS CLI
Python
Go

В веб-консоли выберите нужный проект.
В списке сервисов выберите Object Storage.
Нажмите на имя нужного бакета и перейдите на вкладку Права доступа.

Все правила доступа, созданные для бакета, отображаются в блоке Политика бакета.

1
aws s3api get-bucket-policy --bucket <имя бакета>

Приведенный код на Python:

Импортирует библиотеки boto3 (официальный AWS SDK для Python) и json.
Создает клиент для подключения к Object Storage.
Получает политику для указанного бакета.
Выводит политику в формате JSON.

1
import boto3
2
import json
3

4
def get_bucket_policy(bucket_name):
5
    # Создаем клиент для подключения к Object Storage
6
    s3_client = boto3.client('s3')
7

8
    try:
9
        # Получаем политику бакета
10
        response = s3_client.get_bucket_policy(Bucket=bucket_name)
11
        policy = response['Policy']
12

13
        # Выводим политику в формате JSON
14
        print("Current bucket policy:")
15
        print(json.dumps(json.loads(policy), indent=4))
16
    except s3_client.exceptions.NoSuchBucketPolicy:
17
        print(f"No policy set for '{bucket_name}' .")
18
    except Exception as e:
19
        print(f"Error getting policy: {e}")
20

21
if __name__ == "__main__":
22
    # Определяем имя бакета
23
    bucket_name = 'bucket'
24

25
    # Получаем и выводим политику
26
    get_bucket_policy(bucket_name)

Приведенный код на Go:

Импортирует необходимые пакеты, в том числе AWS SDK для Go.
Определяет имя бакета.
Подгружает конфигурацию из ~/aws/*.
Создает клиент для подключения к Object Storage.
Получает политику бакета.
Выводит политику.

1
package main
2

3
import (
4
    "context"
5
    "log"
6
    "fmt"
7
    "github.com/aws/aws-sdk-go-v2/aws"
8
    "github.com/aws/aws-sdk-go-v2/config"
9
    "github.com/aws/aws-sdk-go-v2/service/s3"
10
)
11
var (
12
        bucketName = "bucket"
13
)
14

15
func main() {
16

17
    // Подгружаем конфигурацию из ~/.aws/*
18
    cfg, err := config.LoadDefaultConfig(context.TODO())
19
    if err != nil {
20
        log.Fatal(err)
21
    }
22

23
    // Создаем клиент для доступа к Object Storage
24
    client := s3.NewFromConfig(cfg)
25

26
    // Получаем политику бакета
27
    output, err := client.GetBucketPolicy(context.TODO(), &s3.GetBucketPolicyInput{
28
        Bucket: aws.String(bucketName),
29
    })
30
    if err != nil {
31
        log.Fatalf("failed to get bucket policy, %v", err)
32
    }
33

34
    // Выводим политику бакета
35
    fmt.Println("Bucket Policy:")
36
    fmt.Println(*output.Policy)
37
}

Добавить политику

Веб-консоль
AWS CLI
Python
Go

В веб-консоли выберите нужный проект.
В списке сервисов выберите Object Storage.
Нажмите на имя нужного бакета и перейдите на вкладку Права доступа.
В блоке Политика бакета нажмите кнопку Создать правило.
Настройте правило:
1. Введите название правила.
2. Укажите тип правила: разрешающее или запрещающее.
3. Выберите, для каких учетных записей будет действовать правило. Если вы создаете правило для конкретного набора учетных записей, нажмите Выбрать и укажите нужных пользователей.
4. Выберите, какие действия будут разрешены или запрещены политикой. Опция Все действия распространит правило на все возможные действия.
5. Укажите ресурс, для которого создается правило:
  - для операций с бакетом (например, удаление, изменение конфигурации и т.п.) укажите в качестве ресурса имя бакета;
  - для операций с объектами внутри бакета (например, просмотр списка объектов, удаление объектов и т.п.) используйте при указании ресурса регулярное выражение вида <имя бакета>/*.
6. Добавьте условия срабатывания правила.
Нажмите Создать политику.

Создайте файл JSON с описанием политики.
Выполните команду:

1
aws s3api put-bucket-policy --bucket <имя бакета> --policy file://<путь к файлу с описанием политики>

Приведенный код на Python:

Импортирует библиотеки boto3 (официальный AWS SDK для Python) и json.
Определяет функцию set_bucket_policy, принимающую в качестве аргументов имя бакета и политику.
Создает клиент для подключения к Object Storage.
Определяет имя бакета.
Определяет политику в формате JSON.
Добавляет политику.
Выводит сообщение об успешном добавлении политики.

1
import boto3
2
import json
3

4
def set_bucket_policy(bucket_name, policy_json):
5
    # Создаем клиент S3
6
    s3_client = boto3.client('s3')
7

8
    # Устанавливаем политику бакета
9
    s3_client.put_bucket_policy(
10
        Bucket=bucket_name,
11
        Policy=json.dumps(policy_json)
12
    )
13

14
if __name__ == "__main__":
15
    # Указываем имя бакета
16
    bucket_name = 'bucket'
17

18
    # Политика доступа в формате JSON
19
    bucket_policy = {
20
        "Version": "2012-10-17",
21
        "Statement": [
22
            {
23
                "Effect": "Allow",
24
                "Principal": "*",
25
                "Action": "s3:GetObject",
26
                "Resource": f"arn:aws:s3:::{bucket_name}/*"
27
            }
28
        ]
29
    }
30

31
    # Устанавливаем политику
32
    set_bucket_policy(bucket_name, bucket_policy)
33
    print(f"Bucket policy for '{bucket_name}' succesfully set.")

Приведенный код на Go:

Импортирует необходимые пакеты, в том числе AWS SDK для Go.
Определяет имя бакета.
Подгружает конфигурацию из ~/.aws/*.
Определяет политику бакета.
Преобразует политику в JSON.
Добавляет политику.
Выводит сообщение об успешном добавлении политики.

1
package main
2

3
import (
4
    "context"
5
    "encoding/json"
6
    "fmt"
7
    "log"
8

9
    "github.com/aws/aws-sdk-go-v2/aws"
10
    "github.com/aws/aws-sdk-go-v2/config"
11
    "github.com/aws/aws-sdk-go-v2/service/s3"
12
)
13

14
func main() {
15
    var (
16
        bucketName = "bucket"
17
    )
18
    // Подгружаем конфигурацию из ~/.aws/*
19
    cfg, err := config.LoadDefaultConfig(context.TODO())
20
    if err != nil {
21
        log.Fatal(err)
22
    }
23

24
    // Создаем клиент для доступа к Object Storage
25
    client := s3.NewFromConfig(cfg)
26

27
    // Определяем политику бакета
28
    bucketPolicy := map[string]interface{}{
29
        "Version": "2012-10-17",
30
        "Statement": []map[string]interface{}{
31
            {
32
                "Effect":    "Allow",
33
                "Principal": "*",
34
                "Action":    "s3:GetObject",
35
                "Resource":  fmt.Sprintf("arn:aws:s3:::%s/*", bucketName),
36
            },
37
        },
38
    }
39

40
    // Преобразуем политику в JSON
41
    policyJSON, err := json.Marshal(bucketPolicy)
42
    if err != nil {
43
        log.Fatalf("failed to marshal policy, %v", err)
44
    }
45

46
    // Устанавливаем политику бакета
47
    _, err = client.PutBucketPolicy(context.TODO(), &s3.PutBucketPolicyInput{
48
        Bucket: aws.String(bucketName),
49
        Policy: aws.String(string(policyJSON)),
50
    })
51
    if err != nil {
52
        log.Fatalf("failed to set bucket policy, %v", err)
53
    }
54

55
    fmt.Println("Bucket policy set successfully")
56
}

Удалить политику

Веб-консоль
AWS CLI
Python
Go

В веб-консоли выберите нужный проект.
В списке сервисов выберите Object Storage.
Нажмите на имя нужного бакета и перейдите на вкладку Права доступа.
В блоке Политика бакета нажмите на значок удаления для удаляемого правила.

1
aws s3api delete-bucket-policy --bucket <имя бакета>

Приведенный код на Python:

Импортирует библиотеку boto3 — официальный AWS SDK для Python.
Определяет функцию delete_bucket_policy, принимающую в качестве аргумента имя бакета.
Создает клиент для подключения к Object Storage.
Определяет имя бакета.
Вызывает функцию delete_bucket_policy и удаляет политику.

1
import boto3
2

3
def delete_bucket_policy(bucket_name):
4
    # Создаем клиент для подключения к Object Storage
5
    s3_client = boto3.client('s3')
6

7
    try:
8
        # Удаляем политику бакета
9
        s3_client.delete_bucket_policy(Bucket=bucket_name)
10
        print(f"Policy for '{bucket_name}' successfully deleted.")
11
    except Exception as e:
12
        print(f"Error deleting policy: {e}")
13

14
if __name__ == "__main__":
15
    # Указываем имя бакета
16
    bucket_name = 'bucket'
17

18
    # Удаляем политику
19
    delete_bucket_policy(bucket_name)

Приведенный код на Go:

Импортирует необходимые пакеты, в том числе AWS SDK для Go.
Подгружает конфигурацию из ~/.aws/*.
Создает клиент для подключения к Object Storage.
Определяет имя бакета.
Удаляет политику доступа для указанного бакета.
Выводит сообщение об успешном удалении политики.

1
package main
2

3
import (
4
    "context"
5
    "log"
6
    "fmt"
7
    "github.com/aws/aws-sdk-go-v2/aws"
8
    "github.com/aws/aws-sdk-go-v2/config"
9
    "github.com/aws/aws-sdk-go-v2/service/s3"
10
)
11
func main() {
12
    // Подгружаем конфигурацию из ~/.aws/*
13
    cfg, err := config.LoadDefaultConfig(context.TODO())
14
    if err != nil {
15
        log.Fatal(err)
16
    }
17

18
    // Создаем клиент для подключения к Object Storage
19
    client := s3.NewFromConfig(cfg)
20

21
    // Указываем имя бакета
22
    bucketName := "bucket"
23

24
    // Удаляем политику доступа
25
    _, err = client.DeleteBucketPolicy(context.TODO(), &s3.DeleteBucketPolicyInput{
26
        Bucket: aws.String(bucketName),
27
    })
28
    if err != nil {
29
        log.Fatalf("unable to delete bucket policy, %v", err)
30
    }
31

32
    // Выводим сообщение об успешном удалении конфигурации
33
    fmt.Println("Policy deleted successfully for bucket:", bucketName)
34
}