S3 Eimer Politik vs Zugriffssteuerungsliste

Question

Auf AWS website, schlägt es mit der folgenden Eimer Politik des S3 Eimer öffentlich zu machen:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Sid": "PublicReadGetObject", 
      "Effect": "Allow", 
      "Principal": "*", 
      "Action": [ 
       "s3:GetObject" 
      ], 
      "Resource": [ 
       "arn:aws:s3:::example-bucket/*" 
      ] 
     } 
    ] 
} 

Was ist der Unterschied zwischen dem, und nur sie über die Access Control List Einstellung?

Answer 1

Bottom line: 1) ACL ist Erbe, 2) Politik von AWS empfohlen (aber warum), und 3) ACLs gibt Kontrolle über Eimer und Objekte, Richtlinien nur auf Bereichsebene?.

https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/

Answer 2

Wenn Sie feinkörnige Kontrolle über die einzelnen Objekte in Ihrem Eimer verwenden ACLs implementieren möchten. Wenn Sie eine globale Kontrolle implementieren möchten, z. B. um einen gesamten Bucket öffentlich zu machen, verwenden Sie Richtlinien.

ACLs waren der erste Autorisierungsmechanismus in S3. Bucket-Richtlinien sind die neuere Methode und die Methode, die für fast alle AWS-Dienste verwendet wird. Richtlinien können sehr komplexe Regeln und Berechtigungen implementieren, ACLs sind einfach (sie haben ALLOW, aber KEINE DENY). Um S3 zu verwalten, benötigen Sie ein solides Verständnis von beiden.

Die eigentliche Komplikation tritt auf, wenn Sie beide ACLs und Richtlinien implementieren. Der End-Berechtigungssatz ist die Union mit der geringsten Berechtigung für beide.