AWS ec2使用IAM Role管理S3文件

AWS EC2實(shí)例，可通過Access key ID及Secret access key的方式讀取其它服務(wù)的內(nèi)容，也可通過關(guān)聯(lián)IAM Role的方式獲取其它服務(wù)的內(nèi)容。下面介紹兩種配置方式。

1、通過在EC2上配置Access key ID的方式（AWSCLI）

apt-get?install?python3?-y????????????????????#安裝python3
pip3?install?--upgrade?awscli???????????????????#安裝aws命令行工具
aws?configure????????????????????????????#依次輸入下列信息
AWS?Access?Key?ID?[None]:?????????????????????????????????????
AWS?Secret?Access?Key?[None]:?
Default?region?name?[None]:?
Default?output?format?[None]:?json

2、配置IAM Role的方式

1. ????進(jìn)入IAM配置界面，創(chuàng)建策略

   
   

2. ? ? 進(jìn)入角色配置界面，關(guān)聯(lián)創(chuàng)建的策略

   
   

3. ? ? 將創(chuàng)建的角色附加到EC2

   
   

   
   

驗(yàn)證上述配置，首先解除IAM角色的關(guān)聯(lián)，ssh到EC2驗(yàn)證

aws?s3?ls?--region?cn-north-1?s3://package/?????????#能顯示bucket內(nèi)的文件則正常
rm?-rf?~/.aws??????????????????????????#刪除aws?configure配置文件

重新關(guān)聯(lián)IAM角色，ssh到EC2驗(yàn)證

aws?s3?ls?--region?cn-north-1?s3://package/?????????#與之前顯示一致則正常

經(jīng)過上述的測試發(fā)現(xiàn)，EC2實(shí)例可以使用當(dāng)前的策略讀取S3的內(nèi)容，但是無法上傳文件到S3中，經(jīng)咨詢AWS技術(shù)支持，上述策略生效后，對bucket中的object沒有操作權(quán)限，導(dǎo)致上傳失??；如要在策略中對object添加寫入的權(quán)限

{
????"Version":?"2012-10-17",
????"Statement":?[
????????{
????????????"Sid":?"VisualEditor2",
????????????"Effect":?"Allow",
????????????"Action":?[
????????????????"s3:ListAllMyBuckets",
????????????????"s3:ListBucket",
????????????????"s3:HeadBucket"
????????????],
????????????"Resource":?"arn:aws-cn:s3:::*"
????????},
#上面的策略為列出所有的bucket信息
????????{
????????????"Sid":?"VisualEditor1",
????????????"Effect":?"Allow",
????????????"Action":?"s3:*",
????????????"Resource":?"arn:aws-cn:s3:::package/*"
#S3:*表示所有的S3操作，package/*表示package下的所有對象文件
????????}
????]
}