我想在AWS S3 ACL公共讀寫一些解釋,從docs:AWS S3 ACL公共讀寫:安全問題
所有者獲得FULL_CONTROL。 AllUsers組獲得READ和WRITE 訪問權限。一般不建議在桶上放置此項。
[...]
所有用戶組 - 由 http://acs.amazonaws.com/groups/global/AllUsers代表。訪問權限爲 此組允許任何人訪問資源。請求可以是 簽名(已認證)或未簽名(匿名)。未簽名的請求在請求中省略了 Authentication標頭。
但這意味着每個aws帳戶都可以讀取/寫入我的文件?或者只有我的IAM用戶可以讀/寫我的文件?
看看這個文件:http://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html
亞馬遜S3組預定義
亞馬遜S3具有一組預定義組。當向組授予帳戶訪問權限 時,您可以指定我們的一個URI而不是規範的用戶 ID。我們提供以下預定義組:
經過身份驗證的用戶組 - 由 http://acs.amazonaws.com/groups/global/AuthenticatedUsers表示。此組 代表所有AWS賬戶。對該組的訪問權限允許 任何AWS賬戶訪問資源。但是,所有請求必須是 簽名(已驗證)。
所有用戶組 - 代表 http://acs.amazonaws.com/groups/global/AllUsers。訪問權限爲 此組允許任何人訪問資源。請求可以是 簽名(已認證)或未簽名(匿名)。未簽名的請求在請求中省略了 Authentication標頭。
日誌傳遞組 - 由http://acs.amazonaws.com/groups/s3/LogDelivery表示。對存儲區的WRITE 權限使該組能夠將服務器訪問日誌 (請參閱服務器訪問日誌記錄)寫入存儲區。
通過ACL,您可以與其他AWS賬戶共享您的S3存儲桶。誰沒有登錄AWS賬戶,他們無法訪問您的存儲桶。
如果您希望AWS賬戶和非AWS賬戶均可訪問您的S3存儲桶,則必須定義S3存儲桶策略。 例如:
{
"Version": "2008-10-17",
"Statement": [
{
"Sid": "AllowPublicRead",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::S3-Bucket-name/*"
}
]
}
以上表明*任何*可以訪問資源,如在整個AWS上的任何*認證用戶。這可能是「通常不推薦」的原因。您可以隨時通過創建這樣一個存儲桶並嘗試以各種不同的用戶身份訪問它來自行測試它。 –