Как я могу поделиться контентом Amazon S3 с защитой MFA через IAM?

Мне нравится делиться своим личным контентом Amazon S3 с участниками. Сначала я сделал это, создав учетную запись пользователя AWS Identity and Access Management (IAM), но люди начали передавать эти учетные данные вокруг.

Итак, я обнаружил, что могу выдать каждому пользователю токен/брелок AWS Multi-Factor Authentication (MFA). учетная запись, созданная через IAM. Однако тестирование показывает, что я все еще могу загружать файлы, S3 не будет запрашивать 6-значный номер, сгенерированный токеном/брелоком.

Что мне здесь не хватает? Или, если я пошел по неправильному пути, предложите способ обнаружения/предотвращения обмена участниками этими учетными данными. Спасибо


amazon-web-services amazon-s3 amazon-iam
person Eric Yin    schedule 04.04.2013    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Вам необходимо специально настроить доступ к API с защитой MFA для ресурса. которые вы пытаетесь защитить (т. е. содержимое S3 в вашем случае), см. вводную запись в блоге о Доступ к API, защищенный MFA, чтобы узнать, как работает эта функция.

К счастью, есть несколько примеров добавления политики корзины для требования аутентификации MFA. доступно — пожалуйста, прочитайте этот раздел для получения подробной информации, но первый пример уже относится к вашему варианту использования (третий расширяет его, добавляя условие, чтобы ограничить продолжительность действия ключа aws:MultiFactorAuthAge):

{
   "Version": "2008-10-17",
   "Id": "123",
   "Statement": [
      {
         "Sid": "",
         "Effect": "Deny",
         "Principal": { "AWS": "*" },
         "Action": "s3:**",
         "Resource": "arn:aws:s3:::examplebucket/taxdocuments/*",
         "Condition": { "Null": { "aws:MultiFactorAuthAge": true }}
      }
   ]
}
person Steffen Opel    schedule 05.04.2013