במידה ועולה צורך לתת גישה ל bucket ב S3, הדרך הטובה ביותר לעשות זאת היא לא ע”י פתיחת יוזר ומתן הרשאת ליוזר הזה ל bucket אלא ע”י יצירת קבוצה, שיוך היוזר לקבוצה ומתן הרשאה רלוונטית לקבוצה על ה bucket. איך עושים את זה?
פתיחת קבוצה חדש:
יש להיכנס לשירות IAM ומהתפריט יש לבחור Groups
לאחר מכן לחיצה על הלחצן “Create New Group” ומתן שם לקבוצה.
מומלץ לתת שם שיאפיין את הקבוצה כמו “Developers” או “HR”
לאחר בחירת שם הקבוצה יש לבחור את ההרשאה הרלוונטית עבור הקבוצה. מכיוון שאנחנו רוצים לתת גישה ל S3 יש לבחור מבין שתי האפשרויות המתאימות:
במסך הבא נאשר את כל ההגדרות ונבצע שמירה שתחזיר אותנו למסך המציג את כלל הקבוצות שלנו.
נוכל לראות שלקבוצה אין כרגע משתמשים משויכים (עמודת Users תציג את המספר 0)
הוספת משתמש לקבוצה
לחיצה על שם הקבוצה תאפשר לנו לעבור ללשונית הרלוונטית על מנת להוסיך משתמשים לקבוצה
נבחר את המשתמש הרלוונטי ונוסיף אותו לקבוצה.
שינוי הרשאה של הקבוצה – התאמה ידנית
נוכל לערוך ידנית את ההרשאה של הקבוצה למצב שבו לדוגמה נרצה לתת הרשאה ל bucket מסוים.
כדי לעשות זאת ניכנס שוב לעריכת הקבוצה (לחיצה על שם הקבוצה ברשימת הקבוצות) ובחירה בלשונית Permissions ומשם נבחר באקורדיון “Inline Policies”
לחיצה על הקישור “click here” תאפשר לנו להגיע למסך בו נוכל לבחור Custom Policy על מנת לכתוב אותו ידנית. דוגמה להרשאת גישה ל bucket מסוים:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets"
],
"Resource": "arn:aws:s3:::*"
},
{
"Sid": "AllowRootLevelListingOfTheBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::BUCKET-NAME"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::BUCKET-NAME/*"
]
}
]
}יש להחליף את BUCKET-NAME בשם ה bucket הרלוונטי
הרשאה זו תאשר לצפות ברשימת כל ה bucketים שיש לנו (ListBucket) אך תאשר רק לשים ולמשוך קבצים מתוך הbucket המדובר (GetObject + PutObject) בלי אפשרות מחיקה.
כך יוכל המשתמש להשתמש בכלים כמו S3 Browser על מנת לעבוד ישירות על ה bucket כאילו היה תקייה רגילה
