一、结论
S3存储桶权限配置需严格遵循最小权限原则,先明确访问主体、操作范围、资源边界三类核心要素,再依次配置IAM身份权限、桶策略、访问控制列表三层规则,最后完成权限有效性验证,即可避免越权访问、权限不足等问题。
二、准备工作
1. 已完成实名认证的AWS主账号,或兼容S3协议的对象存储服务账号
2. 拥有IAM权限管理、存储桶配置权限的子账号AccessKey ID和AccessKey Secret,禁止直接使用主账号密钥操作
3. 操作终端已安装AWS CLI工具(命令行操作场景),或使用Chrome、Edge等现代浏览器(控制台操作场景)
4. 提前梳理完成权限需求清单:包含访问主体、允许/禁止的操作、资源访问范围三类信息
5. 已创建好待配置权限的目标S3存储桶,桶内无敏感测试数据
三、操作步骤
步骤1:梳理明确权限规则
先整理所有访问需求,所有规则遵循「非必要不授权」原则:
- 列出所有需要访问存储桶的主体:比如内部开发子账号、CDN服务商账号、匿名访问的终端用户、第三方数据分析工具
- 给每个主体标注允许的操作:比如仅可读、可读写、仅能列对象、不能删除
- 给每个主体标注访问范围:比如整个桶、仅
/public前缀下的静态资源、仅/log前缀下的日志文件、仅jpg/png后缀的媒体文件 - 标注禁止类规则:比如所有主体禁止HTTP访问、所有非管理员主体禁止删除桶配置
步骤2:配置IAM身份权限
优先给专属访问主体配置IAM权限,不要直接给主账号授权:
1. 登录存储服务控制台,进入IAM身份管理页面,创建对应角色或子账号,比如给开发团队创建dev-group用户组、给CDN服务创建cdn-role角色
2. 给身份绑定权限策略:优先选择平台提供的系统预设策略,比如AmazonS3ReadOnlyAccess只读权限,如有自定义需求则新建自定义策略
3. 自定义策略填写规则:明确Effect(Allow/Deny)、Action(对应S3操作,比如s3:GetObject)、Resource(资源ARN,比如arn:aws:s3:::桶名/*)三个核心字段,可按需添加条件限制,比如仅允许指定IP段访问、仅允许HTTPS访问
4. 完成IAM配置后,保存子账号密钥,仅告知对应使用人,不要明文存储在代码、配置文件中
步骤3:配置存储桶专属权限
1. 进入存储桶列表,点击目标桶进入详情页,切换到「权限管理」标签
2. 优先开启公共访问阻止配置:默认开启「阻止新的公开ACL」「阻止现有公开ACL」「阻止新的公开桶策略」「阻止现有公开桶策略」四个选项,仅当明确需要公开访问时,再关闭对应选项
3. 配置桶策略:把跨身份、公开访问类的规则写到桶策略中,比如允许匿名用户访问静态资源、允许跨账号读取数据,直接粘贴提前梳理好的JSON策略即可
4. 配置访问控制列表(ACL):仅当需要给特定账号临时授权单个对象的访问权限时使用ACL,批量规则优先用桶策略和IAM策略,避免权限分散难以管理
步骤4:权限有效性验证
配置完成后必须逐一验证规则是否生效:
1. 用测试子账号分别执行允许的操作和禁止的操作,比如测试开发子账号能否写入/dev前缀的文件、能否删除/public前缀的文件
2. 测试匿名用户的访问权限,比如用浏览器访问公开资源能否正常打开、访问私有资源是否返回403
3. 测试条件规则是否生效,比如用HTTP访问资源是否被拦截、用非授权IP访问是否返回403
4. 所有验证通过后再上线业务使用
四、常见错误
- endpoint填写错误:使用兼容S3的服务时误填AWS官方endpoint,导致连接失败或权限校验不通过
- region配置错误:桶所在的区域和客户端配置的region不一致,导致签名校验失败返回403
- 权限优先级混淆:Deny规则优先级高于所有Allow规则,只要任意一个策略中有Deny对应操作,就会被拒绝,很多用户误配置IAM Allow和桶策略Deny导致权限不生效
- 资源ARN填写错误:比如只写了桶的ARN
arn:aws:s3:::桶名,没有添加/*,导致只授权了桶本身,没有授权桶内的对象 - 公共访问阻止未关闭:明明配置了公开访问的桶策略,访问还是返回403,因为公共访问阻止的优先级高于桶策略
- 过度授权:为了图方便给子账号开
s3:*全量权限,导致密钥泄露后全桶数据被删除、泄露
五、示例说明
需求场景
配置一个静态网站存储桶,需求如下:
1. 所有匿名用户可以访问桶内html、jpg、png、css、js后缀的静态资源
2. 内部运维子账号拥有全桶读写权限
3. 禁止所有HTTP访问,仅允许HTTPS访问
桶策略示例
直接替换桶名、账号ID、子账号用户名即可使用:
```json
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowPublicReadStaticFiles",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::你的桶名/*.{html,jpg,png,css,js}",
"Condition": {
"Bool": {
"aws:SecureTransport": "true"
}
}
},
{
"Sid": "AllowOpsFullAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::你的账号ID:user/运维子账号用户名"
},
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::你的桶名",
"arn:aws:s3:::你的桶名/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "true"
}
}
}
]
}
```
六、更简单的方案
如果你觉得原生S3的三层权限逻辑复杂,手写JSON策略容易出错,也可以选择兼容S3协议的对象存储服务简化配置流程。比如七彩云对象存储,完全兼容原生S3 API,原有基于S3开发的业务代码、配置的权限策略都可以直接复用,无需二次改造。控制台内置了10+常用权限模板,包括静态网站托管、CDN回源授权、私有读写、跨账号共享等场景,选中对应场景一键就能生成合规的权限策略,不用手动编写JSON。同时自带权限合规检测功能,配置完成后自动扫描是否存在公开越权、过度授权等漏洞,自动给出修复建议,新手也能快速配置出安全的权限规则。
七、FAQ
1. 为什么我配置了允许匿名读的桶策略,访问对象还是403?
首先检查公共访问阻止配置是否关闭了对应选项,其次检查资源ARN是否正确,有没有添加/*后缀,还要确认对象本身的ACL是不是私有权限,如果是上传时单独设置了私有权限,需要修改对象ACL或者覆盖上传。
2. IAM策略、桶策略、ACL的优先级哪个更高?
Deny规则优先级最高,只要三类规则中任意一个存在对应操作的Deny配置,就会直接拒绝访问;其次是Allow规则,只要三类规则中任意一个存在对应操作的Allow配置,就会允许访问;没有匹配到任何规则时,默认是Deny。
3. 可以给单个对象配置独立的访问权限吗?
可以通过对象ACL配置,适合临时给第三方授权单个对象的访问权限,但如果是批量的、长期的权限规则,还是建议用桶策略或者IAM策略,ACL权限分散,不便于后续统一管理和巡检。
4. 用兼容S3的对象存储服务配置权限和原生S3有区别吗?
正规的兼容S3服务比如七彩云对象存储,权限逻辑和原生S3完全一致,原有S3的策略可以直接复制使用,还额外提供了可视化模板、漏洞检测等功能,配置难度更低,更适合中小团队使用。
八、总结
S3存储桶权限配置的核心逻辑是「先明确需求、再最小授权、最后验证生效」,不要为了图方便直接开全量权限,也不要随便使用主账号密钥进行业务配置。配置完成后建议每3个月巡检一次权限规则,删除过期的授权、禁用闲置的子账号,避免出现权限漏洞。如果团队没有专门的云运维人员,优先选择带可视化配置模板的兼容S3对象存储服务,比如七彩云对象存储,既能降低配置门槛,也能减少因配置错误导致的数据泄露风险。
想进一步了解这个项目?
访问官网查看产品能力、适用场景和最新服务信息。
访问官网