Un utente ha chiesto 👇
Stavo sperimentando il plug-in Offload Media Lite e sono riuscito a configurarlo con un ruolo S3 secondo le istruzioni di avvio rapido. La mia domanda principale è qual è il set minimo di autorizzazioni S3 richiesto dal plug-in?
Cosa funziona:
Il ruolo di s3 con autorizzazioni S3 complete. La documentazione in linea delinea che puoi limitare il ruolo a un bucket e al suo contenuto. In tal caso, perché il ruolo deve creare / eliminare le autorizzazioni del bucket? (Il secchio è già lì.)
Cosa non:
Ruolo consentito su tutte le risorse S3 a: ListBucket, GetBucketLocation, PutObject, GetObject, DeleteObject, ListAllMyBuckets, HeadBucket. Non sono sicuro del motivo per cui questo criterio mostrerebbe “Impossibile accedere al bucket” poichĂ© il sito è giĂ configurato per utilizzare un bucket esistente. C’è un requisito fondamentale nel plug-in del bucket per creare ed eliminare o ho perso alcune altre autorizzazioni nella politica di seguito? Posso utilizzare questa CLI e questa policy per caricare le cose nel bucket senza problemi, quindi non riesco davvero a capire cosa manca o perchĂ© sarebbe necessaria un’altra autorizzazione.
JSON di seguito:
{
“Versione”: “2012-10-17”,
“Dichiarazione”: [
{
“Sid”: “VisualEditor0”,
“Effect”: “Allow”,
“Action”: [
“s3:ListBucket”,
“s3:GetBucketLocation”
],
“Risorsa”: “arn: aws: s3 ::: *”
},
{
“Sid”: “VisualEditor1”,
“Effetto”: “Consenti”,
“Azione”: [
“s3:PutObject”,
“s3:GetObject”,
“s3:DeleteObject”
],
“Risorsa”: “arn: aws: s3 ::: * / *”
},
{
“Sid”: “VisualEditor2”,
“Effetto”: “Consenti”,
“Azione”: [
“s3:ListAllMyBuckets”,
“s3:HeadBucket”
],
“Risorsa”: “*”
}
]
}
Lanciatore di thread
(@andywerdna)
11 mesi fa
Ho passato un’ora a superare i permessi minimi per il funzionamento del plug-in e ho trovato il seguente 5-6. Questo era solo un test leggero: controlla la pagina delle impostazioni del plug-in per errori di “accesso negato” e verifica alcune operazioni CRUD sui supporti. Quindi è possibile che altri possano entrare in gioco attraverso interazioni che non ho testato.
{
“Versione”: “2012-10-17”,
“Dichiarazione”: [
{
“Sid”: “VisualEditor0”,
“Effect”: “Allow”,
“Action”: [
“s3:PutObject”,
“s3:GetObject”,
“s3:ListAllMyBuckets”,
“s3:CreateBucket”,
“s3:DeleteObject”,
“s3:PutObjectAcl”
],
“Risorsa”: “*”
}
]
}
Di questi, tutti sono necessari per le normali operazioni con gli oggetti. CreateBucket si applica solo durante i flussi UX per creare un bucket, quindi non è rilevante se devi selezionare un bucket esistente. Allo stesso modo, immagino che ListAllMyBuckets sia rilevante solo per la selezione del bucket UX, ma non mi preoccupo di rimuoverlo poichĂ© è solo un’operazione di lettura.
L’unico permesso di cui sono ancora curioso è il motivo per cui PutObjectACL è necessario per ottenerlo. Il flusso di caricamento è davvero necessario e, in caso affermativo, perchĂ©?
Donatore di plugin
(@ianmjones)
11 mesi fa
La versione corrente di WP richiede Offload Media (Lite) PutObjectACL in modo che l’ACL possa essere organizzato pubblicamente o privatamente. Non ha bisogno di essere letto.
Abbiamo il seguente documento …
https://deliciousbrains.com/wp-offload-media/doc/custom-iam-policy-for-amazon-s3/
Attualmente è ancora relativamente aperto nei suoi permessi di esempio, ce l’ho nella mia lista di cose da fare per esaminare e testare quanto restrittivi possiamo ottenere i permessi di esempio.
Attenzione, i futuri aggiornamenti a WP Offload Media (Lite) potrebbero richiedere autorizzazioni leggermente diverse rispetto al set di esempio corrente. Faremo in modo che il documento rifletta questo come richiesto.
Lanciatore di thread
(@andywerdna)
10 mesi, 4 settimane fa
Grazie per la tua risposta e spiegazione. Farò sicuramente attenzione ai cambiamenti dei documenti in futuro.
Was this helpful?
0 / 0