Nội dung bài hướng dẫn thuộc giáo trình khóa Learn AWS the Hard Way, chủ đề S3 do thầy Nguyễn Hàn Duy phụ trách


Bucket Policy là gì ?

  • Tương tự IAM policy, nhưng gắn với bucket
  • Gồm các ALLOW/DENY rules áp dụng trong same/different account
  • Áp dụng cho cả anonymous principal (user không thuộc AWS).
  • Nếu ALLOW và DENY rule cùng tác động đến 1 resource: DENY rule sẽ được áp dụng

So sánh IAM policy và Bucket Policy

image.png

Thực hành lab S3 Bucket Policy

Trong bài lab này, chúng ta áp dụng cùng lúc cả S3 bucket policy và IAM policy

Chuẩn bị trước:

  • 1 S3 bucket có sẵn vài object. S3 bucket này được tạo bởi IAM admin user
  • 1 IAM user để test. IAM user này được tạo bởi IAM admin và sẽ có full quyền đối với S3 (AmazonS3FullAccess)

B1: Truy cập vào AWS console bằng IAM user-test, sau đó mở dịch vụ S3

image.png

IAM user-test lúc này có quyền xem danh sách bucket, truy cập vào bucket và get object

B2: Mở 1 tab ẩn danh hoặc 1 trình duyệt khác, truy cập vào AWS console bằng user IAM admin. Mở dịch vụ S3 và cập nhật bucket policy cho bucket:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "DenyBucket",
			"Effect": "Deny",
			"Principal": "*",
			"Action": "s3:ListBucket",
			"Resource": "arn:aws:s3:::bucket-1-DOC-EXAMPLE-BUCKET"
		}
	]
}

image.png

B3: Quay lại AWS console của IAM user-test và refresh

image.png

Lúc này IAM user-test không còn quyền xem danh sách object của bucket nữa.

Quyền của IAM user-test đối với S3 bucket gồm: IAM policy + Bucket policy

  • Ban đầu, chỉ có IAM policy tác động đến IAM user. IAM policy cho phép (explicit ALLOW) user-test truy cập toàn bộ S3 bucket & object, trong đó tất nhiên bao gồm S3 bucket DOC-EXAMPLE-BUCKET và các object bên trong nó
  • Sau khi S3 bucket DOC-EXAMPLE-BUCKET được gắn bucket policy, policy này không cho phép (explicit DENY) liệt kê object bên trong bucket, và policy này áp dụng với tất cả principal, trong số đó tất nhiên là có IAM user-test
  • Lúc này, IAM user-test chịu tác động của cả IAM policy và bucket policy đối với cùng 1 resource (S3 bucket DOC-EXAMPLE-BUCKET), khi đó explicit DENY sẽ được áp dụng

Video hướng dẫn chi tiết Bucket Policy

Video trích từ record buổi học chủ đề S3 do thầy Nguyễn Hàn Duy hướng dẫn

Khóa học AWS thực hành + luyện thi chứng chỉ: Learn AWS the Hard Way

Website thông tin chi tiết: https://aws.techmaster.vn/

LH tư vấn : Ms Huong 0382416368 huong@techmaster.vn

Xem các bài viết cùng chủ đề tại đây:

Hướng dẫn quiz luyện thi chủ đề S3 (P1)

Hướng dẫn quiz luyện thi chủ đề VPC (P1)

Hướng dẫn lab VPC - tạo VPC với Public subnet