Подключение и настройка IAM

Подключение IAM

Сервис управления доступом IAM предоставляется клиентам, заказавшим услугу Объектное хранилище S3.

Настройка политик IAM осуществляется через техническую поддержку SberCloud. Заявку на подключение и настройку необходимо отправить на адрес support@sbercloud.ru с контактного email-адреса, указанного при заключении договора.

В заявке опишите в свободной форме, какие настройки и для каких сущностей (пользователь, корзина, объект) необходимо задать. Для удобства можете приложить к письму заполненную таблицу:

Группа (Group)	Любое удобное название, например: Sales.
Пользователи (Users)*	Список пользователей, для которых необходимо назначить политики IAM, например: sale1 sale2 sale3
Действия (Actions)*	Список действий, например: s3:ListBucket s3:GetObject Полный список действий смотрите в разделе Политики IAM.
Ресурсы (Resource)*	Название существующего ресурса (корзины, объекта).
Запрет или разрешение (Effect)	Разрешить (Allow) или запретить (Disallow).
Условия (Conditions)	При необходимости укажите условия действия политики. Полный список условий в разделе Политики IAM.

* — поля, обязательные для заполнения.

Примеры настройки IAM

Задача 1. Создать группу пользователей Sales и трех пользователей sale1, sale2, sale3. Предоставить группе пользователей Sales права на чтение объектов в корзине Catalog.

Группа (Group)	sales
Пользователи (Users)	sale1 sale2 sale3
Действия (Actions)	s3:ListBucket s3:GetObject
Ресурсы (Resource)	"Resource": "arn:aws:s3:::catalog" "Resource": "arn:aws:s3:::catalog\*"
Запрет или разрешение (Effect)	Allow
Условия (Conditions)	Нет

Итоговая политика IAM:

{
"Version": "2012-10-17",
"Statement": [
       {
      "Action": [
      "s3:ListBucket",
      "s3:GetObject"
      ],
      "Resource": [
      "arn:aws:s3:::catalog",
      "arn:aws:s3:::catalog/*"
      ],
      "Effect": "Allow",
        }
 ]
}

Задача 2. Для группы пользователей sales разрешить чтение, запись и удаление объектов в корзине share в каталоге sales если они подключаются из офиса (IP-адрес офиса: 1.2.3.4).

Группа (Group)	sales
Пользователи (Users)	sale1 sale2 sale3
Действия (Actions)	s3:ListBucket s3:GetObject s3:PutObject s3:DeleteObject
Ресурсы (Resource)	"Resource": "arn:aws:s3:::share" "Resource": "arn:aws:s3:::share\sales\*"
Запрет или разрешение (Effect)	Allow
Условия (Conditions)	"aws:SourceIp": "1.2.3.4"

Итоговая политика IAM:

{
  "Version": "2012-10-17",
  "Statement": [
     {

     "Effect": "Allow",
     "Action": [
     "s3:ListBucket",
     "s3:ListAllMyBuckets",
     "s3:GetObject",
     "s3:PutObject",
     "s3:DeleteObject"
     ],
     "Resource": [
     "arn:aws:s3:::share",
     "arn:aws:s3:::share/sales/*"
     ],
     "Condition": {
     "IpAddress": {
             "aws:SourceIp": "1.2.3.4"
     }
      }
        }
  ]
}