http से ://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-auth-workflow-bucket-operation.html?shortFooter=true

क्या कोई स्पष्ट कर सकता है context evaluation:

उदाहरण 3: एक आईएएम उपयोगकर्ता द्वारा अनुरोधित बाल्टी संचालन जिसका अभिभावक एडब्ल्यूएस खाता भी बाल्टी मालिक है

उदाहरण में, अनुरोध जिल द्वारा भेजा जाता है, जो AWS खाते 1111-1111-1111 में एक IAM उपयोगकर्ता है, जिसके पास बकेट भी है।

Amazon S3 निम्नलिखित संदर्भ मूल्यांकन करता है:

चूंकि अनुरोध एक आईएएम उपयोगकर्ता से है, उपयोगकर्ता संदर्भ में, अमेज़ॅन एस 3 यह निर्धारित करने के लिए माता-पिता एडब्ल्यूएस खाते से संबंधित सभी नीतियों का मूल्यांकन करता है कि जिल को ऑपरेशन करने की अनुमति है या नहीं।

इस उदाहरण में, मूल AWS खाता 1111-1111-1111, जिससे उपयोगकर्ता संबंधित है, बकेट स्वामी भी है। परिणामस्वरूप, उपयोगकर्ता नीति के अलावा, Amazon S3 भी उसी संदर्भ में बकेट पॉलिसी और बकेट ACL का मूल्यांकन करता है, क्योंकि वे एक ही खाते से संबंधित हैं।

क्योंकि Amazon S3 ने उपयोगकर्ता संदर्भ के हिस्से के रूप में बकेट नीति और बकेट ACL का मूल्यांकन किया है, यह बकेट संदर्भ का मूल्यांकन नहीं करता है।

उदाहरण के लिए - उस स्थिति में क्या होता है जब किसी IAM उपयोगकर्ता ने बकेट बनाया हो?

0
Snowcrash 17 जुलाई 2017, 17:38
1
मैं इस धारणा के तहत था कि सभी बकेट पेरेंट खाते के स्वामित्व में थे, भले ही IAM खाते ने इसे बनाया हो। इसे देख रहे हैं।
 – 
RaGe
17 जुलाई 2017, 17:49

1 उत्तर

सबसे बढ़िया उत्तर

संदर्भ की अवधारणा को स्पष्ट करने के लिए इस परिदृश्य पर विचार करें:

  • मेरे AWS खाते में एक बकेट है
  • आपका AWS खाता एक IAM उपयोगकर्ता बनाता है
  • हम सहमत हैं कि आपके उपयोगकर्ता को मेरे खाते की बकेट तक पहुंचने की आवश्यकता है

हम इसकी अनुमति कैसे देते हैं?

मेरे खाते के लिए आपके उपयोगकर्ता को मेरी बकेट तक पहुंचने की अनुमति देना पर्याप्त नहीं है।

आपके खाते के लिए अपने IAM उपयोगकर्ता को मेरी बकेट तक पहुँचने के लिए अधिकृत करना भी पर्याप्त नहीं है।

इन दोनों चीजों को प्रदान किया जाना चाहिए।

जब अनुरोध आता है, तो यह प्राधिकरण जांच की दो परतों से होकर गुजरता है:

  • उपयोगकर्ता संदर्भ: क्या इस उपयोगकर्ता का खाता उसे यह अनुरोध करने की अनुमति देता है? यदि नहीं, तो पहुंच अस्वीकृत; अन्यथा, अगला।
  • बकेट प्रसंग: क्या बकेट स्वामी खाता इस उपयोगकर्ता को यह अनुरोध करने की अनुमति देता है? यदि नहीं, तो प्रवेश निषेध; अन्यथा, पहुंच प्रदान की गई।

सिस्टम को दोनों पक्षों से सहमत होने की आवश्यकता है कि पहुंच की अनुमति दी जानी चाहिए।

हालाँकि ... आपके द्वारा उद्धृत उदाहरण में, उपयोगकर्ता संदर्भ का मूल्यांकन करते समय आवश्यक सब कुछ सीखा जाता है, क्योंकि एक ही खाता उपयोगकर्ता और बाल्टी को नियंत्रित करता है। बकेट संदर्भ का मूल्यांकन करना बेमानी है, इसलिए उस स्थिति में ऐसा नहीं किया जाता है।

"उपयोगकर्ता प्रसंग" उपयोगकर्ता खाता संदर्भ है, और "बकेट प्रसंग" बकेट खाता संदर्भ है।


या, शायद आपका प्रश्न वास्तव में इससे कहीं अधिक सरल है।

उस स्थिति में क्या होता है जब किसी IAM उपयोगकर्ता ने बकेट बनाया हो?

इससे कोई फर्क नहीं पड़ता कि बाल्टी कौन बनाता है। बाल्टी का स्वामित्व AWS खाते के पास है जिसने इसे बनाया है, चाहे वह रूट उपयोगकर्ता हो या उस खाते का IAM उपयोगकर्ता। उपयोगकर्ताओं के पास बकेट नहीं होते हैं, और बकेट बनाने के बाद किस विशिष्ट उपयोगकर्ता ने बकेट बनाया है, इसका कोई और महत्व नहीं है।

संसाधन बनाने वाला AWS खाता उस संसाधन का स्वामी होता है। उदाहरण के लिए, यदि आप अपने AWS खाते में IAM उपयोगकर्ता बनाते हैं और उपयोगकर्ता को बकेट बनाने की अनुमति देते हैं, तो उपयोगकर्ता बकेट बना सकता है। लेकिन उपयोगकर्ता के पास बाल्टी नहीं है; उपयोगकर्ता जिस एडब्ल्यूएस खाते से संबंधित है, वह बाल्टी का मालिक है। उपयोगकर्ता को कोई अन्य बकेट संचालन करने के लिए संसाधन स्वामी से अतिरिक्त अनुमति की आवश्यकता होगी।

http://docs.aws.amazon.com/AmazonS3/latest/dev/UsingBucket.html#create-bucket-intro

1
Michael - sqlbot 18 जुलाई 2017, 03:04