Bonjour,

Pour des Syno qui sauvegardent vers Amazon S3 (testé, ça marche avec les infos admin du compte)

Je voudrais créer 3 buckets au sein du même compte Amazone et attribuer chaque bucket à un synology différent avec pour chacun user amazon créé sous le même compte.

Quelles règles/policies me conseillez vous de mettre en place? 

Question subsidiaire, j'aimerais aussi optimiser les policies afin de peut être empecher que par erreur ou malveillance une personne prenant la main sur le syno ne puisse suprimer les backckups...

Merci de vos pistes, idées, expériences, remarques.

 

Hello,

Après pas mal de lecture sur les horribles docs d'Amazon, je suis parvenu à une solution fonctionelle. Cependant, j'aimerais optimiser celà et j'ai 3 questions.

Plus bas vous trouverez les 2 policies fonctionelles, testées mais je ne suis pas certain qu'elles soient strictes assez.

 

1. Quelles policies/actions mettez vous sur votre compte amazon juste pour le backup?
2. Quelles policies/actions mettez vous sur votre compte amazon juste pour le restore?
3. Les docs amazon proposent une policy en 2 partie (sur le user et sur le bucket), sur le web j'ai trouvé des policy plus simples, juste sur le user. Qu'utilisez-vous, que préférez-vous et plus important, pourquoi ce choix?

 

Policy sur le user uniquement:

Citation

{
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "s3:DeleteObject",
            "s3:GetObject",
            "s3:PutObject",
            "s3:PutObjectAcl"            
         ],
         "Resource": [
            "arn:aws:s3:::mybucketname/*"
         ]
      }
   ]
}

Policy "Amazon" sur le bucket et sur le user
Partie bucket

Citation

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "statement1",
         "Effect": "Allow",
         "Principal": {
            "AWS": "arn:aws:iam::myarnID:user/myusername"
         },
         "Action": [
            "s3:GetBucketLocation",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::mybucketname"
         ]
      },
      {
         "Sid": "statement2",
         "Effect": "Allow",
         "Principal": {
            "AWS": "arn:aws:iam::myarnID:user/myusername"
         },
         "Action": [
             "s3:GetObject"
         ],
         "Resource": [
            "arn:aws:s3:::mybucketname/*"
         ]
      }
   ]
}

Partie user:

Citation

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "PermissionForObjectOperations",
         "Effect": "Allow",
         "Action": [
            "s3:PutObject"
         ],
         "Resource": [
            "arn:aws:s3:::mybucketname/*"
         ]
      }
   ]
}

Merci pour vos avis, idées, suggestions

En vous la souhaitant bien bonne!