Подключение и настройка IAM

Подключение IAM

Сервис управления доступом IAM предоставляется клиентам, заказавшим услугу Объектное хранилище S3.

Настройка политик IAM осуществляется через техническую поддержку SberCloud. Заявку на подключение и настройку необходимо отправить на адрес support@sbercloud.ru с контактного email-адреса, указанного при заключении договора.

В заявке опишите в свободной форме, какие настройки и для каких сущностей (пользователь, корзина, объект) необходимо задать. Для удобства можете приложить к письму заполненную таблицу:

Группа (Group)

Любое удобное название, например: Sales.

Пользователи (Users)*

Список пользователей, для которых необходимо назначить политики IAM, например:

  • sale1

  • sale2

  • sale3

Действия (Actions)*

Список действий, например:

  • s3:ListBucket

  • s3:GetObject

Полный список действий смотрите в разделе Политики IAM.

Ресурсы (Resource)*

Название существующего ресурса (корзины, объекта).

Запрет или разрешение (Effect)

Разрешить (Allow) или запретить (Disallow).

Условия (Conditions)

При необходимости укажите условия действия политики. Полный список условий в разделе Политики IAM.

* — поля, обязательные для заполнения.

Примеры настройки IAM

Задача 1. Создать группу пользователей Sales и трех пользователей sale1, sale2, sale3. Предоставить группе пользователей Sales права на чтение объектов в корзине Catalog.

Группа (Group)

sales

Пользователи (Users)

  • sale1

  • sale2

  • sale3

Действия (Actions)

  • s3:ListBucket

  • s3:GetObject

Ресурсы (Resource)

  • "Resource": "arn:aws:s3:::catalog"

  • "Resource": "arn:aws:s3:::catalog\*"

Запрет или разрешение (Effect)

Allow

Условия (Conditions)

Нет

Итоговая политика IAM:

{
"Version": "2012-10-17",
"Statement": [
       {
      "Action": [
      "s3:ListBucket",
      "s3:GetObject"
      ],
      "Resource": [
      "arn:aws:s3:::catalog",
      "arn:aws:s3:::catalog/*"
      ],
      "Effect": "Allow",
        }
 ]
}

Задача 2. Для группы пользователей sales разрешить чтение, запись и удаление объектов в корзине share в каталоге sales если они подключаются из офиса (IP-адрес офиса: 1.2.3.4).

Группа (Group)

sales

Пользователи (Users)

  • sale1

  • sale2

  • sale3

Действия (Actions)

  • s3:ListBucket

  • s3:GetObject

  • s3:PutObject

  • s3:DeleteObject

Ресурсы (Resource)

  • "Resource": "arn:aws:s3:::share"

  • "Resource": "arn:aws:s3:::share\sales\*"

Запрет или разрешение (Effect)

Allow

Условия (Conditions)

"aws:SourceIp": "1.2.3.4"

Итоговая политика IAM:

{
  "Version": "2012-10-17",
  "Statement": [
     {

     "Effect": "Allow",
     "Action": [
     "s3:ListBucket",
     "s3:ListAllMyBuckets",
     "s3:GetObject",
     "s3:PutObject",
     "s3:DeleteObject"
     ],
     "Resource": [
     "arn:aws:s3:::share",
     "arn:aws:s3:::share/sales/*"
     ],
     "Condition": {
     "IpAddress": {
             "aws:SourceIp": "1.2.3.4"
     }
      }
        }
  ]
}