Подключиться
Yandex Object Storage

Политика доступа (Bucket Policy)

Политики доступа устанавливают права на действия с бакетами, объектами и группами объектов.

Политика срабатывает, когда пользователь делает запрос к какому-либо ресурсу. В результате срабатывания политики запрос либо выполняется, либо отклоняется. Политика применяется только в случае, если:

  1. Запрос успешно прошел проверку IAM.
  2. Запрос не попал под действия ACL.

Проверка правил политики доступа происходит в следующем порядке:

  1. Если запрос подошел хотя бы под одно из правил Deny, то доступ будет запрещен.
  2. Если запрос подошел хотя бы под одно из правил Allow, то доступ будет разрешен.
  3. Если запрос не подошел ни под одно из правил, то доступ будет запрещен.

Политика доступа состоит из базовых элементов:

  • Ресурс – бакет (arn:aws:s3:::samplebucket), объект в бакете (arn:aws:s3:::samplebucket/some/key), или префикс (arn:aws:s3:::samplebucket/some/path/*).
  • Действие – набор операций над ресурсом, который будет запрещен или разрешен политикой. Подробнее читайте в разделе Действия.
  • Результат – запрет или разрешение запрошенного действия. Сначала проверяется попадание запроса в фильтр с действием Deny, при совпадении запрос отклоняется и дальнейшие проверки не проводятся. При попадании в фильтр с действием Allow запрос разрешается. Если запрос не попал ни в один из фильтров, то запрос отклоняется.
  • Принципал – получатель запрошенного разрешения политики. Это может быть пользователь IAM, федеративный пользователь, сервисный аккаунт или анонимный пользователь.
  • Условие – определение случаев, когда действует политика. Подробнее читайте в разделе Условия.

Для описания правил политик используется JSON-подобный язык.

Примеры конфигурации

  • Следующая политика дает доступ анонимному пользователю на чтение объектов бакета samplebucket при условии шифрованного подключения.
{
  "Id": "epd4limdp3dgec7enpq5"
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "f1qqoehl1q53l06kqurs",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::samplebucket/*",
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "true"
        }
      }
    }
  ]
}
  • Политика, которая запрещает скачивать объекты с указанного IP-адреса:
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "arn:aws:s3:::samplebucket/*"
    },
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::samplebucket/*",
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": "100.101.102.103"
        }
      }
    }
  ]
}
  • Раздельный доступ к ресурсам бакета для разных пользователей:
{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"User1Permissions",
      "Effect":"Allow",
      "Principal": "ajeanexampleusername",
      "Action": "*",
      "Resource":["arn:aws:s3:::common-bucket/user1path/*"]
    },
    {
      "Sid":"User2Permissions",
      "Effect":"Allow",
      "Principal": "ajesomeotherusername",
      "Action": "*",
      "Resource":["arn:aws:s3:::common-bucket/user2path/*"]
    }
  ]
}
В этой статье: