最近很多客户问我S3有没有客户端工具?如何通过IAM用户和权限通过一个客户端来管理我的存储桶?
本文以第三方工具S3 Browser 结合 S3 的 一些特性(Bucket,Objective-level-logging,IAM user,IAM Policy,S3 versioning)一步一步带你实现客户端的存储桶管理。
非常适合的场景是多个部门或Team,比如开发,市场,运营,人事等 他们都需要有各自的权限各自的桶来管理文件。
- 先建立一个bucket:s3-bucket-devgroup 来作为测试bucket。
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/d1cb396620cf82fd83c70bb431753454.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
- 这里写一个Tags和开启Object-level logging(我后面会告诉你有什么用)
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/56a18479c17f3836a16bc28d6df956f5.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
- 随便上传个对象,为了测试:
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/ee91b69a600694b29d0e35995ff673f2.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
- 确认一下基于 Object-level logging 有没有启用。
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/9c27e4392d4e212d685acdc693762f5e.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
- Copy 一下 Bucket ARN 到 note或记事本中,我们在后面做policy的时候会用到。
格式是:arn:aws:s3:::s3-bucket-devgroup
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/ed59c5f7f7cbdf9e4b7a304bd6bab770.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
- 这是第二部分,在IAM中添加一个User并赋予权限。
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/22bbfede23ac098e671f8725ef11038b.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
- 这里在Access type中,根据权限最小化原则,我并没有选择让DevUser01这个用户有登陆控制台的权限。
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/0ab7f2aaf78ef065d7cd85e0f38d5fc5.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
-
这里我们创建一个策略Policy。
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/9670758a9f45f948c9a7a13188ef76be.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
-
定义策略,Service 选择S3。我现在的目的只想让这个用户看到s3-bucket-devgroup的桶里有什么,其他权限都没有。我稍后会给他加上传和下载的权限。
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/fe0e1fb7f77abc95a9ce7b1c21508b7c.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
-
复制刚才copy 到note或记事本中的ARN,
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/51d5f0130d923d32d2de31cf94c84645.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
-
object 选择 Any。
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/4e87d804d141e9b10be24692bbcc8ded.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
-
取一个特别的名字;
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/733f39c8695fea745ba7ae68570d9add.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
- 将刚刚创建好的Policy附给DevUser01这个用户;
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/ae444cd6990b976ea8bd10f424aa243f.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/946e7068174ac3a004ec3f67f8ceb3f9.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/4189cf287ada8e94f1d8091d6a662c35.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
-
创建完User后,我们要复制他的AK和SK,也就是有码部分。我们使用客户端的时候会用到。
- 第三部分,下载并使用S3 browser。
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/0d10262eac08eaf9fe00d0b60bf1fb0b.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/cea4fe2b4296cf4aab710de7516625cb.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
-
使用AK/SK登陆
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/4861f2bd42e6c52391fd9ef310f6155d.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
- 看到我桶里的Bucket,但是我随意点击一个不是s3-bucket-devgroup的桶,发现是Access Denied的。
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/db5cd76e7b368271c1141469b2bbfb83.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
- 我有权限访问s3-bucket-devgroup的桶,但是没有下载和上传的权限。
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/08de991b4ee6a2c1904059dbce462a11.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/ceffcf4a0434efaead1d4438f524c5ee.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
- 我赋予DevUser01下载和上传的权限,我将Write中的Put操作勾选上;
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/bff4eebb3f254ce810305c2808bc7ceb.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
-
更新我的策略Policy;
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/3e7116434d44ce5ac1485288adf29779.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
-
Refresh后发现我就拥有了对s3-bucket-devgroup桶的上传和下载权限;
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/123ae4cc01451b2036e8b7eaf460e724.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
- 我上传的文件也同步到S3中
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/ce5a17eb41d4d0efe59c52c20b7a0197.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
- 为了防止同事误删,我没有给DevUser01删除对象的权限;
但是,当该用户上传同名文件的时候,原文件将被覆盖,这里建议开启版本控制,一旦文件被覆盖我们可以还原之前的版本。在S3的控制台中Enable versioning。如下图:
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/a06cfef1127e755f83033c96e647b6c3.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
- 这样一旦我的文件被错误的覆盖,我也能还原我之前的版本。
可以通过S3 Browser 恢复 ![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/cb9d2945fdbdbb2fb0b07111fd592cef.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
-
也可以通过S3 还原,当然,这里我并没有授予DevUser01登陆控制台的权限,所以他无法登陆控制台还原。只有管理员或赋予相应权限的用户才可以通过控制台进行还原。
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/f5f5c0f986cbbc332dedc90f20e0a4c3.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
- 最后,记得我们前面为什么开启Object-level logging吗?
作为管理员,我想要知道,我分配的用户对Bucket桶中都做了哪儿些操作,尤其是有删除权限的用户。CloudTrail尤为重要。
除此之外CloudTrail可帮助对您的 AWS 账户进行监管、合规性检查、操作审核和风险审核。用户、角色或 AWS 服务执行的操作将记录为 CloudTrail 中的事件。事件包括在 AWS 管理控制台、AWS Command Line Interface 和 AWS 开发工具包和 API 中执行的操作。
https://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html
![[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser](https://s4.51cto.com/images/blog/202006/18/c2f6b25b5a3a393d6cea277d64f093ff.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
备注:
1.我们还可以将权限根据我们的需求进行更一步的细化,可以参考:https://docs.aws.amazon.com/zh_cn/AmazonS3/latest/dev/using-with-s3-actions.html
2.除了S3 Browser 以为还有其他第三方工具,比如CloudBerry Explorer,Commander One 也都可以并支持Mac OS。
3.S3 Browser 免费版本Free Version for non-commercial use only,如果商用,请购买或Upgrade to Pro版本。