Привет, коллеги! Пятница, время охуенных вопросов по RGW. Задача -

сделать гранулярный доступ к директориям в бакете.
У aws есть пример ну, чтож сделаем по примеру следующую политику:
[
{
"Sid": "AllowRootListingOfBucket",
"Principal": {
"AWS": [
"arn:aws:iam:::user/s3_test"
]
},
"Action": ["s3:ListBucket"],
"Effect": "Allow",
"Resource": [ "arn:aws:s3:::test" ],
"Condition":{
"StringEquals": {
"s3:prefix": ["","artifacts/"],
"s3:delimiter":["/"]
}
}
},
{
"Sid": "List_Artifacts",
"Principal": {
"AWS": [
"arn:aws:iam:::user/s3_test"
]
},
"Action": ["s3:ListBucket"],
"Effect": "Allow",
"Resource": [ "arn:aws:s3:::test" ],
"Condition": {
"StringLike": {
"s3:prefix": [ "artifacts/*"]
}
}
},
{
"Sid": "RW_Artifacts",
"Principal": {
"AWS": [
"arn:aws:iam:::user/s3_test"
]
},
"Effect": "Allow",
"Action": ["s3:*"],
"Resource": [
"arn:aws:s3:::test/artifacts/*"
]
}
]
На первый взгляд всё отлично, объекты листятся только в нужной директории и даже удаляются, но при попытке что-то записать ловим 403. Хмм, очевидно клиенту (у меня rclone) не хватает каких то прав? И как выяснилось при записи он делает листинг бакета а вернее не передает префикс "s3:prefix".
Вопрос: Сталкивался кто с таким или есть пример работающей политики?

6 ответов

43 просмотра

* убери.

Andrey-S Автор вопроса
Roman
* убери.

Всяко уже перепробовал. Может есть рабочий пример аналогичной политики?

Andrey S
Всяко уже перепробовал. Может есть рабочий пример ...

Это ошибка, там норм с *. Политика есть, но проще, только на get/put в зависимости от useragent.

Andrey-S Автор вопроса
Roman
Это ошибка, там норм с *. Политика есть, но проще,...

Дак вот хотелось как раз листинг других директорий отрубить, но кажется такое не реализовать.

Используешь indexless бакет и нет проблем с запретом листинга😁

Andrey-S Автор вопроса
Roman
Используешь indexless бакет и нет проблем с запре...

Радикально, не хочется совсем листинг убить) Кстати приходилось такие бакеты клепать, какая область применения для них?

Похожие вопросы

Обсуждают сегодня

Не совсем в тему возможно, но может кто то пробовал поднять цеф на нодах вмвари и с последующим подключением через айскази в саму вмварю?
Alexander Zaitsev
34
Привет. Изучаю возможности iscsi gateway и у меня проблема. Я сделал по ману из оф. доки, но спустя какое-то время кластер начал ругаться след.ошибкой: user@ceph-node1:~$ sudo...
Vladimir Ivanov
3
Всем добра. продолжаю знакомится с ceph, возник вопрос на который я с ходу найти ответ не могу. Мысль следующая. Возможен ли кластер цеф, когда основная часть нод в одном дат...
mendisobal
28
Подскажите пожалуйста, а вот много вижу что фактор репликации надо ставить 3 и выше, мониторов по больше. Неужели цеф настолько нестабильный? Или просто используется в мощных ...
Тау Фокс
28
Всем здарова. После нештатного отключения электричества не запускаются два из трех OSD кластера Ceph, резвернутого через rook в кубере. Логи expand-bluefs 2023-10-09T09:15:23...
Vlad Trefilov
4
Всем привет, подскажите, пожалуйста, куда копать? *Warning по Ceph* Версия Ceph: ceph -v ceph version 15.2.17 (8a82819d84cf884bd39c17e3236e0632ac146dc4) octopus (stable) На...
Nesterov Ivan
7
Добрый день! Коллеги, подскажите пожалуйста, насколько целесообразно использовать CEPH, в качестве SDS для системы фото видео фиксации в проекте "Безопасный город"? Планируе...
Victor
23
Вот запихали диски в полки. Дальше что? Интерконнект сетевой между серверами какой нужен? Ну чтобы и публичка и бэк CEPH-а за ресурсы сетевые не передрались. А еще по публичк...
Andrey Nemysskiy
7
Есть ли какой-то штатный или известный механизм ограничения количества одновременного запуска осд при старте ноды в container-based кластере с cephadm? Или вариант с кастомиза...
Qntm
17
как понять какие физические диски используются в кластере ?
DimaE
17
Карта сайта