Bucket Policy

Bucket Policy — это механизм управления доступом к бакетам и их содержимому с помощью разрешений и ограничений. Политика представляет собой JSON-документ, который задает правила доступа для определенных пользователей или групп.

Подробнее о настройке Bucket Policy можно узнать в официальной документации AWS или CEPH.

• Version: версия политики S3. Доступны два значения:

  • 2012-10-17 (рекомендуется);
  • 2008-10-17.
• Id: идентификатор политики (необязательный параметр).
• Statement: массив, содержащий отдельные политики (правила).

Каждая политика в массиве Statement описывается следующими параметрами:

• Sid (Statement ID): уникальный идентификатор конкретной политики (необязательный).
• Effect: действие политики, указывающее на тип разрешений:

  • Allow — разрешение;
  • Deny — запрет.
• Principal: субъект, на который распространяется политика. Возможные значения:

  • * — все пользователи;
  • arn:aws:iam:::user/<username> — конкретный пользователь.
• Action: действия, которые разрешено или запрещено выполнять. Например:

  • s3:PutObject — загрузка объектов;
  • s3:GetObject — чтение объектов.
• Resource: ресурсы, на которые распространяется политика. Возможные значения:

  • arn:aws:s3:::* — все бакеты и объекты;
  • arn:aws:s3:::<bucketname> — конкретный бакет;
  • arn:aws:s3:::<bucketname>/* — все объекты в бакете;
  • arn:aws:s3:::<bucketname>/myfolder/* — все объекты в определенной папке.
• Condition: дополнительные условия для применения политики. Условия описываются предопределенными ключами и значениями, которые зависят от используемого хранилища.

Реализация Bucket Policy в Ceph имеет несколько отличий от оригинального AWS S3:

1. Principal. В Ceph для указания пользователей используются специфичные идентификаторы:

   • Основной пользователь: arn:aws:iam:::user/<username>.
   • Подпользователь: arn:aws:iam:::user/<username>:<subuser>.

2. Action. Ceph поддерживает ограниченный набор действий (Action) по сравнению с AWS. Полный список доступных действий можно найти в официальной документации Ceph.

3. Conditions. Ceph поддерживает ограниченный набор ключей условий. Список ключей, доступных для использования в условиях:

   • Общие ключи:

     • aws:CurrentTime
     • aws:EpochTime
     • aws:PrincipalType
     • aws:Referer
     • aws:SecureTransport
     • aws:SourceIp
     • aws:UserAgent
     • aws:username
   • Ключи для S3: перечислены в документации Ceph.

Пример 1. Публичный доступ на чтение к объектам в бакете bucketname:

1
{
2
  "Version": "2012-10-17",
3
  "Statement": {
4
    "Effect": "Allow",
5
    "Principal": "*",
6
    "Action": "s3:GetObject",
7
    "Resource": [
8
      "arn:aws:s3:::<bucketname>/*"
9
    ]
10
  }
11
}

Пример 2. Доступ к бакету bucketname пользователю username только с определенного IP-адреса:

1
{
2
  "Version": "2012-10-17",
3
  "Statement": {
4
    "Effect": "Deny",
5
    "Principal":  {
6
      "AWS": [
7
        "arn:aws:iam:::user/<username>"
8
      ]
9
    },
10
    "Action": "*",
11
    "Resource":  [
12
      "arn:aws:s3:::<bucketname>/*",
13
      "arn:aws:s3:::<bucketname>"
14
    ],
15
    "Condition": {
16
      "NotIpAddress" : {
17
        "aws:SourceIp": "192.0.2.188/32"
18
      }
19
    }
20
  }
21
}

Пример 3. Запрет пользователю username удалять объекты и их версии в бакете bucketname:

1
{
2
  "Version": "2012-10-17",
3
  "Statement": {
4
    "Effect": "Deny",
5
    "Principal":  {
6
      "AWS": [
7
        "arn:aws:iam:::user/<username>"
8
      ]
9
    },
10
    "Action": [
11
       "s3:DeleteObject",
12
       "s3:DeleteObjectVersion"
13
    ],
14
    "Resource":  [
15
      "arn:aws:s3:::<bucketname>/*"
16
    ]
17
  }
18
}