HELLO大家好，在本课时我们讨论使用S3预签名URL共享对象。 S3预签名URL是一种允许用户在有限的时间段内访问特定存储桶中的对象的方法。

比如您可能有一些特定的用户，他们没有AWS账户，因此您无法通过账户授权他们访问权限；但您需要这些用户能够在一个有限的时间段内，访问一些重要的更新，一个视频或者是其他类型的对象，在这种情况下S3预签名URL是一个很好的选择。

使用S3预签名URL共享对象

您可以使用API、CLI来创建S3的预签名URL，您可以构建一个应用程序来通过API自动执行此操作，来实现您应用程序的某个功能。当然也可以通过S3的管理控制台创建S3的预签名URL，在本课时我们主要通过CLI的方式来进行实操演示。

这个就是创建预签名URL的命令，aws s3 presign ，后面是存储桶名称 以及您要共享的对象名称，iloveawscn-saa是我的存储桶，huandengpian1.jpg是这个存储桶中的对象。

执行后将生成这个对象的预签名的URL，PPT这里显示的就是我的执行结果。您也可以以秒为单位指定此URL的有效时间，不指定默认为1小时过期。

接下来我们切换到S3，演示如何创建预签名URL。

切换到我们的iloveawscn-saa存储桶，我将上传一个文件，文件名为presignurl.jpeg。

让我们先完成这个上传操作。

那在默认情况下，这个对象是无法公开访问的。 我们来看一下，选择这个对象，复制下对象URL，然后切换到浏览器访问一下，可以看到访问会被拒绝。

那现在我们假设我们需要允许一部分用户访问这个特定的对象。那现在我们就通过CLI命令，生成这个对象的预签名URL，然后使用预签名URL来访问这个对象。

我们切换到CLI界面，我们粘贴下命令：

aws s3 presign s3://iloveawscn-saa/presignurl.jpeg --expires-in 60

我们看下这个命令,aws s3 presign s3://然后是您的存储桶名称/后面是对象名称，也就是我们刚刚上传的文件名。

然后的参数是我配置的过期时间，这里指定的是60秒，稍后您会看到这个预签名URL的有效和过期后的演示。

回车运行命令。

可以看到得到了一个非常长的网址，我们将这个网址复制一下，然后回到浏览器，将它粘贴进行，然后按回车键访问。

我们可以成功访问我们上传的图片文件，也就是说我们通过CLI生成并使用预签名URL成功访问了对象。然后就可以将这个预签名URL发送给需要访问的那部分用户。

以上是使用CLI创建预签名URL的一种非常简单的方法。

我们的命令参数指定了60秒的有效期，那现在已经过了60秒我们刷新下浏览器，看下是否还可以访问该对象。

可以看到访问被拒绝，信息提示请求已过期，并为我们提供了一些有关该预签名URL过期时间的一些信息。

可以看到通过CLI来设置预签名URL非常的方便。

那接下来我们切换到S3控制台，我们来看下通过控制台如何配置预签名URL。

进入到我们的存储桶，选择我们要创建预签名URL的对象，然后点击“操作”，点击“使用预签名URL共享”

可以看到提示任何人都可以使用此预签名URL访问对象，直到过期为止，即使存储桶和对象是私有的也是如此。

然后配置过期时间，这里就是对应我们CLI命令行的过期时间的参数，比如我们配置1分钟，然后点击“创建预签名URL”

然后可以看到预签名URL已创建，我们就可以通过这个预签名URL访问该对象。

好的，以上就是本课时的内容，本课时我们实操演示了通过CLI以及管理控制台创建S3预签名URL来达到临时共享对象的目的，感谢大家的观看，希望能够给大家带来帮助。

Hello大家好｡ 在本课时我们将讨论S3加密相关的内容。

S3加密相关是认证考试的一个重要的主题考点，您需要了解亚马逊S3的几种不同类型的加密方式。|

首先是静态数据的加密，静态数据加密是指数据存储在亚马逊S3 数据中心的磁盘上时，对数据进行保护；这个很好理解，对存储在磁盘上静止的数据进行加密就是静态数据加密；

然后是传输过程中的数据加密，是指数据发往和离开Amazon S3时对数据进行加密保护。您可以使用安全套接字层/传输层安全性 (SSL/TLS) 或客户端加密来保护传输中的数据。

那对于静态数据加密，有几个不同的选项，我们一起来看一下

首先大家要知道，这几种加密方式的不同之处主要取决于您选择如何管理加密密钥。

SSE-S3

首先，我们看下S3托管密钥的服务器端加密， 缩写为SSE-S3。
顾名思义这种方式密钥由亚马逊S3服务进行管理，每个对象均使用唯一密钥进行加密；然后作为额外的保护，将使用定期轮换的主密钥在加密这个唯一密钥本身。
使用256位高级加密标准AES-256来加密您的数据。

加密和解密的动作都是在S3进行的，当您的数据写入存储桶时，数据将会被加密；而当从存储桶读取数据时，数据将会被解密。但是这并不意味着数据会明文在网络中传输，
因为我们在访问S3时是使用了证书通过HTTPS的方式，当数据通过网络传输时，其实是通过一个加密的隧道。但实际数据本身，一旦到达目的地仍然是明文的。
因此，如果我们有个客户端，客户端将一个对象上传到S3，S3将对其进行加密；然后当客户端从S3中读取该对象时，S3将对其进行解密。

SSE-KMS

第二种加密的选项是在AWS KMS中存储KMS密钥的服务器端加密，缩写为SSE-KMS。

这种方式密钥是由KMS服务进行管理的,KMS即亚马逊的密钥管理服务。您可以使用KMS的AWS托管密钥，或者您也可以创建客户托管密钥对数据进行加密。

加密和解密也是在存储桶上进行的，当客户端将数据写入S3，S3对该数据进行加密；当客户端读取数据时，S3对数据进行解密。

SSE-C

第三种加密的选项称为具有客户提供密钥的服务器端加密，缩写为SSE-C。

这种方式密钥是由客户也就是您进行管理，而不是存储在AWS上。
但是加密和解密的动作仍然是在AWS上进行。
这种方式提供给客户对于密钥更多的控制权。
以上三种是S3服务器端加密的3种选项。

客户端加密选项

那接下来的加密选项不是服务器端加密，而是客户端加密选项。

客户端加密意味着数据要在客户端完成加密，客户也就是您需要管理加密过程、加密密钥和密钥轮转等等；密钥不会存储在AWS上，
你也可以使用KMS的CMK客户托管密钥，将其导出并使用。

客户端加密是在客户端进行，AWS对此一无所知，你自行在客户端加密数据，然后将其上传到S3，这样存储桶内存储的就是加密后的数据；
当您下载数据后，是在客户端侧进行解密。在AWS上无法解密这些数据，因为密钥是由您管理的，可能存储在您的数据中心的某个系统内。

默认加密配置

可以为S3存储桶配置默认加密，配置时可以选择我们想要使用的加密类型，就是前面讲的那些加密选项。

配置后，写入存储桶的所有新的对象将使用您指定的加密类型进行加密。

请注意，这里我重点提到了新的对象，之前在存储桶中已经存在的对象不会被加密。就是说当您启用了默认加密功能，如果您存储桶中在启用前已经存在的对象，他们将不会被加密。新的对象，也就是您启用默认加密后在上传的对象将会被加密。

这里提到的默认加密配置，是使用前面讨论的服务器端加密选项之一。

正如我前面讲到的，启用后S3将在您将对象上传到S3时进行加密，然后在您将其从S3中下载时对其进行解密。

在启用默认加密之前，存储桶中已经存在的对象的加密状态不会更改。

阻止上传未加密的对象

最后，我们来看下如何通过存储桶策略阻止上传未加密的对象。

我们看下这个策略的内容，首先，任何主体，对资源这里配置我们的存储桶的arn的putobject也就是上传对象的操作都是被拒绝的。存储桶ARN后面加上/*,代表我们放入存储桶中的所有对象。

然后注意condition配置，字符串不等于s3：x-amz-servrer-side-encryption的值为AES256。这个存储桶策略的意思是除非上传对象使用SSE-S3进行加密，才允许上传到这个指定的存储桶。如果您希望使用SSE-KMS，就可以用AWS:KMS替换这里的AES256。

然后下面这段策略，前面和上面内容一样，拒绝任何主体上传对象到我们指定的这个存储桶，然后condition配置，null对应s3:x-amz-server-side-encryption值为真。

这段策略的作用是在上传对象时，如果没有对其进行加密，那么就不允许进行上传。

这是一个PUT请求的例子，我们可以在这里看到服务器端加密标头值为AES256,因此这个对象将会被加密并允许上传到这个存储桶。

好的，以上就是本课时的内容，本课时我们讨论了S3加密的内容，感谢大家的观看，希望能够给大家带来帮助。

希望此系列教程能为您通过AWS的认证考试带来帮助，如您有任何疑问，请联系我们：

• 如果您想获取本课程全部课时，请扫PPT的二维码加入。
• AWS爱好者的网址是www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。
• 我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。

Hello大家好｡ 在本课时我们将了解如何使用S3的生命周期配置来管理我们的对象。

回到S3控制台，选择iloveawscn-saa这个存储桶，然后点击上面的“管理”。 在这里，我们可以创建生命周期规则，我们点击“创建生命周期规则”。

首先我们创建一个转换S3存储类的规则，生命周期规则名称我们就叫zhuanhuan。 然后选择规则应用的范围，在这里可以通过定义的筛选条件限制此规则的范围，筛选条件可以是前缀、对象标签、对象大小或者适合您的使用案例的任何组合来筛选对象，您可以在这里定义您的筛选条件，只将符合条件的对象应用即将定义的转换生命周期规则，可以理解吧？

当然也可以将规则直接应用于存储桶内的所有对象，我选择应用到所有对象。然后会弹出一个提示，点击“我了解。。。”复选框。

然后在往下，我们就可以看到支持的生命周期规则操作：包括在存储类之间移动对象的当前版本，非当前版本；可以将对象的当前版本设为过期，永久删除对象的非当前版本，以及删除过期对象删除标记或未完成的分段上传。

现在，我想要转换对象当前的版本，所以我们选择“在存储类之间移动对象的当前版本”， “创建对象以来的天数”我们输入30，“选择存储类转换”我们选择“标准-IA”。这条规则的意思就是：对象上传到存储桶后，我希望在30天之后，将对象从S3标准存储类迁移到标准IA存储类。比如您觉得您的对象在30天后应该就很少在使用，就可以通过配置这条规则到期后将他转换为标准IA，可以节省存储成本。

这是第一次的转换。

那如果我们要是预计我们的对象在比如90天之后，使用到的可能性非常非常低的话，我们就可以配置在对象存储90天后，将其自动迁移到Glacier对其进行归档，Glacier有最低容量费用，我们在前面的课时讲过，所以这里需要我们了解，然后点击这个“我了解。。”复选框。

好的，这就是我要创建的转换规则。

然后往下，您可以看到对象的当前版本和非当前版本操作，对于当前版本，对象在0天上传后，30天后对移动到标准IA，然后在90天后移动到Glacier Flexible retrieval。

好，让我们创建这个规则。

那前面是创建的转换规则，我们接下来创建一个过期操作规则。

我们点击“创建生命周期规则”，然后生命周期规则名称，我们输入guoqi。选择规则范围,选择“应用到存储桶中的所有对象”。

然后这个规则我们要选择“永久删除对象的非当前版本”，然后输入对象变为非当前对象以来的天数，我们输入30天，也就是说这条规则的作用是，30天后，那些非当前版本，以前的版本将会自动被删除。注意右边这里还可以定义要保留的较新版本的数量，是可选的。

还有一个小提示，大家看生命周期规则操作这里是复选框，大家可以在一个规则里面定义多个操作，我这里是为了容易理解分别创建了两个规则各定义了一个操作，大家理解了吧？

好，我们现在创建这个规则。

好的，我们现在创建了两条规则，您可以创建多条规则达到您的目的，创建规则之前您要对这条规则可能对对象产生的影响非常的清楚，我们前面提过，我举个例子：

很多的S3存储类型都有最低存储持续时间费用，比如S3标准IA是30天，那如果你创建的规则是不到30天就将对象从标准IA转换到其他存储类，那肯定会浪费一些费用，所以用生命周期规则，达到成本优化的目的，前提是要了解这些知识点，否则转换来转换去有可能产生费用比一直放在S3标准里还要多。这部分大家要注意。

一旦创建了规则，这些规则都会被启用，选择规则后，可以禁用规则，或者删除规则。

我们目前不需要转换或者删除对象，所以我现在将这两个规则禁用。

好的，以上就是本课时的内容，本课时我们实操演示了S3生命周期规则的配置，感谢大家的观看，希望能够给大家带来帮助。

希望此系列教程能为您通过AWS的认证考试带来帮助，如您有任何疑问，请联系我们：

• 如果您想获取本课程全部课时，请扫PPT的二维码加入。
• AWS爱好者的网址是www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。
• 我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。

Hello大家好｡ 在本课时我们将讨论S3的三个功能特性，这三个特性有一些相关性，即版本控制，复制和生命周期配置。

S3版本控制

首先版本控制，是将对象的多个版本保存在同一存储桶的方法。换句话说，您上传一个对象，就是一个文件，然后在其他地方又编辑了这个文件， 然后在将这个文件的新版本上传到S3。

在这种情况下，S3将保留这个文件的多个版本，也就是说您可以看到旧版本和新的修改后的版本的文件。 如果需要，您也可以还原旧版本文件。 所以，使用版本控制可以保留、检索和恢复存储桶中每个对象的每个版本。

存储桶启用了版本控制后，使您能够从意外删除或覆盖中恢复对象。

这个知识点请大家牢记，因为它们可能会作为考试的题目，这些是S3版本控制的几个主要的优点。

S3复制

接下来，S3复制。 复制有两种形式：

一种称为跨区域复制，CRR，这个功能已经存在很长时间了。 我们在一个区域有一个存储桶，在另外一个区域中有另一个存储桶。 配置了S3复制后，写入左侧区域中存储桶的任何数据也会自动复制到右侧的不同区域的存储桶。

接下来是同区域复制功能，SRR，这个功能和上面的差不多，只是源和目的在同一个区域内，SRR是相对来说比较新推出的功能。 这两个S3复制功能，都是支持跨账户的，无论您使用的是相同区域复制还是跨区域复制，源存储桶和目标存储桶都可以为不同的AWS账户。 注意，使用S3复制功能，必须启用版本控制。您必须先启用版本控制，在配置复制，否则无法启用任何类型的复制。

生命周期配置

然后，生命周期配置。 S3的生命周期管理，支持两种类型的操作，将对象转换到不同的存储类别，还有就是使对象过期，使对象过期换句话说就是删除对象。 以上就是转换操作和过期操作。

S3生命周期配置：支持的转换

那么不同存储类别之间进行转换，受支持的转换和相关限制我们就需要了解一下：

右边的这个瀑布模型展示了受支持的转换: 左边是S3存储的类别，我们之前的课时讲过，包括S3标准，S3标准IA，智能分层，S3单区IA，S3 Glacier以及，S3 Glacier的深度归档。

那通过这些不同颜色的线，您可以进行以下转换：

从S3标准存储类转换为任何其他存储类。

从任何存储类转换为S3 Glacier 和 S3 深度归档存储类。

从S3标准IA存储类转换为S3智能分层，S3单区IA等图中它下面这5种存储类。

从S3智能分层存储转换为S3单区IA等图中它下面的4种存储类。

以及从这两种S3 Glacier存储类转换为S3 Glacier 深度归档存储类。

好的，右侧这个图大家应该都懂了吧

S3生命周期配置：不支持的转换

那么不支持哪些类型的生命周期转换呢？

您不能从任何存储类型转换为S3标准存储类，

也不能从任何存储类转换成低冗余存储类RRS，RRS我们之前介绍过，这是一种很老的存储类型，目前已经很少在使用。

不能从S3智能分层转换为S3标准IA，

以及不能从S3单区IA转换成S3智能分层、S3标准IA，以及S3 Glacier Instant Retrieval 存储类 。

好的，上面这些内容要记住，在考试中会遇到相关的题目，会为您提供一些具体的要求，要求您保留数据，可能还会删除数据，归档数据，或者出于合规性原因将数据保留一段时间。然后，您必须根据这些来确定您将使用哪些存储类和那种转换动作。

好的，以上就是本课时的内容，感谢大家的观看，希望本课时能够给大家带来帮助。

希望此系列教程能为您通过AWS的认证考试带来帮助，如您有任何疑问，请联系我们：

• 如果您想获取本课程全部课时，请扫PPT的二维码加入。
• AWS爱好者的网址是www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。
• 我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。

我们开始今天的课程。

S3存储桶复制知识点

首先，我们先看下S3存储桶复制的一些知识点。
我们先看下这个图，假设我们在东京区域有一个S3存储桶，开启了复制功能并配置复制目标为首尔存储桶后，在上传到东京存储桶的对象可以自动复制到首尔区域的存储桶。

• 复制功能就是可以跨 Amazon S3 存储桶 自动以异步方式 复制存储桶中的对象。
• 使用S3的复制功能，可在不同 AWS 区域或在相同区域中自动复制存储桶中的对象。我们这节课讨论的是跨AWS不同区域复制，也就是存储桶跨区域复制功能。
• 复制的目标存储桶可以是和源存储桶相同的AWS账户下的存储桶或不同的AWS账户的存储桶。
• 跨区域复制的场景，一般用于满足合规性要求、最大限度减少延迟以及灾难恢复等。
  • 1、合规性要求，比如有的合规性要求备份到S3的数据需要存储在不同的区域且对区域之间的距离有要求，这样就要将备份数据分别存储在不同的AWS区域的存储桶，而S3默认是跨多个可用区存储数据就满足不了合规性要求。
  • 2、最大限度减少延迟，如果需要访问S3服务的客户处于两个地理位置，那么使用跨区域复制功能可以在地理位置与客户较近的AWS区域维护对象副本，从而最大限度缩短访问对象时的延迟。比如访问S3对象的客户在东京和首尔区域，我们的存储桶在东京区域，那么我们可以使用跨区域复制功能，配置复制目的区域为首尔，这样东京和首尔两地的客户都可以就近访问存储桶中的对象。
  • 3、灾难恢复，如果配置了跨区域复制功能，从东京复制到首尔区域的话，当东京区域故障东京的S3存储桶对象无法访问时，您的存储桶的对象还是可以在首尔区域访问的到，从而为对象提供了更高的持久性。
• 开启复制 源存储桶和目标存储桶必须都要启用版本控制功能，这个是硬性的要求。

最后，复制功能不会复制在向存储桶添加复制配置之前存在的对象。这个应该好理解，如果开启复制功能前你的源存储桶已经有2个对象时，开启复制功能之后，并不会复制这两个对象，只会复制添加复制功能之后添加的对象。

好，以上就是S3存储桶复制的一些重要知识点。

存储桶的跨区域复制实操演示

接下来我们开始进入存储桶的跨区域复制实操演示的环节。

• 首先，我们先创建两个存储桶。
  第一个存储桶，名称我们输入iloveawscn-jp，然后区域选择东京区域，然后点击创建存储桶；
  继续创建第二个存储桶，名称我们输入iloveawscn-kr，然后区域这次我们选择首尔区域，然后点击创建存储桶。
  好，这样我们就拥有了2个存储桶，分别在东京区域以及首尔区域。
• 接下来我们要创建复制配置，实现当我们上传对象到iloveawscn-jp这个东京的存储桶时，复制配置自动为我们将对象复制至首尔区域的iloveawscn-kr存储桶，实现自动跨AWS区域复制。

首先，跨区域复制功能需要源存储桶和目标存储桶必须已启用版本控制，默认是不启用的，现在我们快速将两个存储桶开启版本控制。

开启版本控制的方式是：
点击存储桶，在存储桶的属性选项卡，点击“版本控制”，然后选择“启用版本控制”，后保存。
同样的方式，我们为目标存储桶“启动版本控制”。

好 ，两个存储桶的版本控制都已经开启了。

我们继续，配置复制功能。
选择在东京区域的源存储桶，然后“管理”—在点击“复制”选项卡，在下方可以看到目前复制功能可以支持跨区域复制以及同区域复制。
我们需要为源存储桶添加复制规则，点击“添加规则”。

首先设置复制的源，可以复制整个源存储桶的内容，或者只复制源存储桶中具有相同前缀的部分对象。
我们选择所有内容，然后，如果要复制源存储桶中使用KMS加密的对象，就勾选“复制AWS KMS加密的对象”。
下一步。

然后选择目标存储桶，可以选择此账户中的存储桶或另一个其他AWS账户中的存储桶，我们这次实操演示选择此账户中的存储桶，然后选择我们在首尔创建的存储桶。

然后如果您希望将数据复制到目标存储桶中的特定存储类别，可以通过勾选“更改已复制对象的存储类”后选择存储类。
不同的存储类对应不同的数据耐久性，可用性以及收费标准，通过选择不同的存储类可以节省跨区域复制的存储成本，这里可以根据您的实际需要选择，我们这次的演示就选择“一区-IA”

如果您需要更改 复制后目标存储桶中的对象所有权，就勾选将 对象所有权更改为目标存储桶拥有者 然后进行配置。

然后是角色的配置，复制功能需要使用角色赋予一定的权限来完成跨区域复制，一般情况就创建一个新的角色就可以了。
然后我们输入规则名称“crrtest”,确认状态是“已启用”，然后下一步。
然后审核一下配置，没有问题就保存，完成规则的创建。

我们的复制规则就创建完成了。

• 接下来我们就来测试下，我们在东京区域的存储桶上传一个文件，看看复制功能会不会自动帮我们复制这个文件到首尔区域的存储桶。
  我们上传一个testcrr文件。

好 ，上传完成，可以看到这个文件的存储类别为“标准”。

我们进入到首尔区域的存储桶，看下这个文件在不在。进入到首尔区域的存储桶中，可以看到testcrr文件存在，存储类别为我们创建规则时选择的存储类“一区-IA”。

同样，如果我们在源存储桶中创建一个文件夹，跨区域复制功能也会将这个新建的文件夹复制到目标存储桶，因为时间的关系我就不演示了。

好，以上说明我们之前配置的跨区域复制功能已经生效。

注意，如果源存储桶创建复制规则前存在的对象，创建复制规则后是不会自动复制到目标存储桶的，前面讲过，这一点大家要注意。

好的，以上就是我们今天的课程内容，我们介绍了存储桶跨区域复制的知识点，以及对跨区域复制进行了实操的演示，希望能给大家带来帮助。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

• AWS爱好者的网址是www.iloveaws.cn。
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识
• 加入【AWS知识星球】持续学习。

我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。

【 Domain 1的组织复杂性设计（Design for Organizational Complexity）】——-S3标准 ACL（Canned ACL）

Hello大家好，欢迎回来，我们今天的课程内容是S3的标准ACL，对于跨账户的S3的存储桶访问，掌握标准ACL知识点是非常重要的。

我们开始今天的课程。

S3 ACL基础知识

首先，我们要先介绍一下S3 ACL的基础知识。

ACL也就是访问控制列表 ， 是基于资源的访问策略选项之一 ，可用于管理对存储桶和对象的访问。使用 ACL 可向其他 AWS 账户授予基本的读/写权限。

每个存储桶和对象都有一个作为子资源而附加的 ACL，当S3存储桶中的对象收到访问请求时，AWS S3会检查与存储桶对象关联的ACL，以决定是允许还是拒绝访问请求。

另外还有一点大家需要牢记，当我们创建一个存储桶或者一个存储桶对象时，AWS S3默认会给资源分配一个资源拥有者完全控制权限。

为了让大家更容易理解这些内容，我们来做个实操演示。

get-object-acl命令

在AWS的CLI命令文档中，有一个命令为get-object-acl，这个命令的功能是列出存储桶中的对象的ACL内容。

我们上个ppt中已经讲过，每个存储桶和对象都有一个作为子资源而附加的 ACL，那如何知道附加的ACL的具体内容是什么呢，这就是get-object-acl这个命令的作用。

我们现在切换到终端，看下这个命令的使用方式。

默认情况下，S3资源所有者拥有完全控制权限

在切换终端前，我们先进入account a的s3管理控制台，我们之前在account a的iloveawscn存储桶，上传过一个test.txt文件，我们现在就使用get-object-acl命令，获取一下这个对象的ACL。

现在切换到终端，让我们执行命令:

aws s3api get-object-acl --bucket iloveawscn --key test.txt --profile accounta

我们看下get-object-acl命令的返回信息，displayname: xiaoliange，就是我的account A，permission是完全控制权限。

正如我们前面介绍过的内容，当我们创建一个存储桶或者一个存储桶对象时，AWS S3默认会给资源分配一个资源拥有者完全控制权限，而这个test.txt的资源拥有者就是这个account a账户,只有account a对于这个文件有完全控制权限。

我们继续，大家是否还记得上节课我们使用了account b的访问密钥上传了一个accountb_file文件到account a的存储桶？我们来到s3控制台看看一下，就是这个文件。

我们现在使用cli看下这个文件的acl内容是什么。

切换到终端，然后我修改下命令，key这里改成accountb_file 。–profile 指定account a的凭证，然后执行：

aws s3api get-object-acl --bucket iloveawscn --key accountb_file --profile accounta

我们看下返回结果,返回信息显示访问被拒绝，因为什么呢，因为这个文件的拥有者是account b，我们刚才使用了accounta的凭证执行命令，所以会提示访问被拒绝，因为没有权限。

所以，我们要使用accountb_file这个文件的拥有者，也就是accountb的凭证，来运行这个命令，获取acl。我们来执行一下，将命令的profile 使用凭证改为account b，运行下然后看下命令的返回结果：

aws s3api get-object-acl --bucket iloveawscn --key accountb_file --profile accountb

displayname:22749752，这是我的account b账户，可以看到这个文件的拥有者是account b,只有它拥有这个文件的完全访问权限。所以accounta对于这个文件没有任何访问权限，这也是为什么account a无法访问这个文件的原因。

在使用跨账户s3存储桶访问时，很多用户都遇到了这个问题而对于原因很困惑，希望通过以上的内容和实际的演示，能够帮助大家掌握这些知识点。

好，我们继续后面的课程内容。

S3标准ACL

下面的内容我们来介绍下S3的标准ACL。

Amazon S3 支持一系列预定义的授权，称为标准 ACL。每个标准 ACL 都有一组预定义的被授权者和许可。

我们前面介绍过，每一个存储桶对象都有一个与之关联的ACL，当我们上传对象时如不特别指定，对象会使用默认的ACL。

然而，当我们上传一个对象到S3存储桶时，也可以指定一个标准ACL，当 Amazon S3 收到包含标准 ACL 的请求时，它会向资源的 ACL 添加预定义的授权。可以使用 x-amz-acl 请求标头在请求中指定标准的 ACL。

我们看下ppt表格中有很多标准ACL，不同的标准ACL对应着不同的相关联的预定义授权。第一个是私有，它是默认的ACL,添加到ACL的权限为所有者将获得完全控制，其他人没有访问权限，想想我们上面测试的例子，就是使用了默认ACL的情况，accountb_flie文件的拥有者是account b，account a是没有访问权限的。

表格中另外一个比较常用的标准ACL是bucket-owner-full-control，它的作用是 对象所有者和存储桶拥有者均可获得对对象的完全控制权限。意思就是当跨账户S3访问时，当你从一个账户上传对象至另一个账户的存储桶时，如果你希望您的上传账户也就是对象的拥有者和另一个账户的存储桶拥有者都对这个对象有完全访问权限时，就可以在上传时指定这个bucket-owner-full-control标准ACL。

对应咱们前面做过的实操演示，accountb_file这个文件的拥有者是accountb ，account a是iloveawscn这个存储桶的拥有者，当我们使用account a的凭证访问accountb_file这个文件时，因为这个文件的acl只允许对象拥有者accountb完全控制，所以account a是无法访问的。如果想让这个文件的拥有者和存储桶的拥有者同时都有完全访问权限，就可以在上传时通过x-amz-acl在请求中指定使用bucket-owner-full-control这个标准ACL

这很容易实现，我们现在来测试下，切换到终端。

我们新创建了一个文件名为acl.txt的文本文件做测试，接下来我们要使用accountb的凭证，上传这个文件到accounta的iloveawscn存储桶，同时指定标准acl为bucket-owner-full-control ，我们现在来操作下：

aws s3 cp acl.txt s3://iloveawscn/ --acl bucket-owner-full-control --profile accountb

好，现在acl.txt使用accountb的凭证，指定了bucket-owner-full-control 的acl，已经成功上传到了accounta 的iloveawscn存储桶。

我们现在用之前介绍的get-object-acl命令，来获取下这个文件的acl,我们找一下之前的命令修改下，–key后的对象名称修改为acl.txt，然后执行：

aws s3api get-object-acl --bucket iloveawscn --key acl.txt --profile accountb

我们看下命令返回结果：

可以看到，对象的拥有者account b以及存储桶的拥有者account a，都是完全控制权限，这就是在执行上传时–acl的标准acl bucket-owner-full-control的作用。

理解这部分内容无论是对于实际应用还是认证考试都是非常重要的，我在总结一下，当你将一个对象从一个账户上传至其他aws账户的存储桶时，如果您希望上传后对象拥有者和存储桶拥有者对这个对象都有完全控制权限的话，就需要在上传时通过—acl 指定 bucket-owner-full-control的标准acl。

大家可以亲自做一下上面的测试，测试的环境准备也不是很困难，自己动手进行测试这对于知识的掌握非常有帮助。

好，以上就是我们今天的视频课程内容。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章
加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识
加入【AWS知识星球】持续学习。

我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。

【 Domain 1的组织复杂性设计（Design for Organizational Complexity）】——-配置跨账户S3存储桶的访问（Cross Account S3 Bucket Configuration）

Hello大家好，欢迎回来，我们今天的课程内容是跨账户S3存储桶的访问。

当前，在很多组织中，应用跨账户S3存储桶访问的架构组成是非常普遍的，同样，对于AWS SAP认证考试，掌握跨账户存储桶的访问知识点也是非常重要。

我们开始今天的课程。

使用存储桶策略配置跨账户S3存储桶访问

将S3存储桶的访问权限授予属于不同aws帐户的委托人，在很多组织的AWS架构中非常常见，为了能够让大家更容易的掌握这方面内容，我将要做个实操演示，画了个简单的架构图，后面的演示都依照此架构来进行。

我们看下图，假设当前组织有两个AWS账户，左边的ACCOUNT A 中包括组织所有的S3存储桶，右边的ACCOUNT B中运行着组织所有的EC2资源，假设ACCOUNT B中的EC2需要定期备份重要数据到ACCOUNT A中的存储桶，能不能实现呢？我们知道，创建的S3存储桶默认情况下是私有的，任何存储桶拥有者之外的账户都不能访问存储桶，在这种情况下，就需要使用存储桶策略来达成 跨账户进行S3存储桶访问，也就是说ACCOUNT A中的创建存储桶策略，允许ACCOUNT B访问存储桶。

在接下来的内容，我们来演示下如何实现。

配置S3存储桶策略

首先，来到ACCOUNT A的S3的管理控制台，进入iloveawscn这个存储桶，然后权限-进入存储桶策略，可以看到目前这个存储桶没有配置存储桶策略。

前面讲过，如果要让ACCOUNT B能够跨账户访问S3存储桶，是需要配置存储桶策略的，我已经准备好了一个简单的存储桶策略，一下就是存储桶策略的内容，大家可以直接使用它进行测试。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "cross",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::256454142732:root"
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::iloveawscn",
                "arn:aws:s3:::iloveawscn/*"
            ]
        }
    ]
}

让我现在把策略粘贴过来，然后看下策略的具体内容：

Effect 是允许，Principal资源委托人，要配置为ACCOUNT B也就是EC2所在账户的arn。

我们切换到ACCOUNT B浏览器，复制一下账户id，256454142732，将它复制到存储桶策略的Principal。

Action为S3的所有动作。然后看Resource，要将此存储桶的arn将此部分替换。我们已经替换好了，为了更清楚我在演示下，替换完成后保存，这样我们的存储桶策略已经生效了。

这里需要在说明一点，大家并不需要自己从头开始写一个存储桶策略，AWS提供了策略生成器帮助我们生成策略，在aws官方文档中您也会找到很多存储桶策略的示例，我经常采用的方法是当需要写一个策略的时候使用百度或者谷歌搜索引擎通过搜索关键字，找到策略示例在aws官方文档的位置，然后修改后使用策略，个人觉得这种方式是最方便的。当然要熟练应用策略就需要您对策略的组成内容有所掌握。

好了，存储桶策略我们已经保存了，我们继续。

准备工作：将ACCOUNT A和ACCOUNT B凭证配置到CLI的credentials配置文件

然后切换到ACCOUNT B的浏览器，看下我提前做好的准备工作。

进入到IAM-用户，我已经创建好了一个名为ACCOUNT B的用户，并给这个用户分配了管理员访问权限，同时为ACCOUNT B用户生成了访问密钥。

另外我已经将ACCOUNT A和ACCOUNT B的访问密钥全部配置到了CLI的credentials配置文件中，也就是说，我现在可以使用CLI可分别指定使用ACCOUNTA或者B的密钥凭证来执行CLI命令，来看一下：

进入到CLI，我们看下credentials配置文件的内容，我配置了两个账户，上面的是ACCOUNT A账户和它对应的访问密钥，下面的是ACCOUNT B账户和它对应的访问密钥，所以目前cli的配置中包括了ACCOUNT A和B两个账户的密钥信息。

好的，以上介绍了目前提前配置的内容，那接下来我们继续演示。

使用ACCOUNT A和B的凭证测试访问S3存储桶

首先，在 CLI中，我们先用ACCOUNT A的密钥，使用cli命令列出iloveawscn这个存储桶里面的对象。使用—profile参数指定使用配置文件中的accounta凭证。

可以看到我们已经成功列出了存储桶中的对象，存储桶中有一个test.txt文件。

下面我们同样进行上述操作，但是使用ACCOUNT B的密钥凭证，看看能不能访问ACCOUNT A的存储桶的对象。也就是说测试ACCOUNT B实现跨账户访问ACCOUNT A中的S3存储桶。将—profile 后面修改为ACCOUNT B，看下结果，好的，同样允许访问并列出了存储桶中的对象。说明我们前面配置的存储桶策略已经生效了

接下来我们继续做测试，在我们cli的当前目录有个accountb_file文件，这是我们已经建立好的一个文本文件，我们cat一下文件内容就一行。

现在我们要将这个文件使用ACCOUNT B的凭证，将其拷贝到ACCOUNT A的iloveawscn存储桶中，这样的话这个文件是属于ACCOUNT B的。

来使用CLI操作下：

aws s3 cp accountb_file s3://iloveawscn/ —profile accountb

搞定，可以看到accountb_file这个文件已经成功从我本地拷贝至ACCOUNT A的存储桶中

我们到ACCOUNT A 的s3控制台确认下，进入存储桶然后刷新下，我们可以看到2个文件，test.txt是开始本课前就存在的文件，另一个accountb_file是刚才我们使用的ACCOUNT B的凭证上传的文件，文件已经成功上传至存储桶。

到这里，我们通过上面的演示，就已经成功实现了跨账户S3存储桶的访问。

我是根用户，为什么存储桶中有的文件我还是没权限操作？

接下来我想继续做个测试，切换到CLI，我想使用ACCOUNT A的凭证 ，将存储桶中的test.txt 拷贝到我本地，注意这个test.txt文件是之前课程通过ACCOUNT A 控制台上传的文件，我们现在来操作下：

aws s3 cp s3://iloveawscn/test.txt . —profile accounta

好的，test.txt文件已经成功拷贝到我本地，我们看下文件已存在。

现在让我同样使用ACCOUNT A凭证拷贝accountb_file这个文件到我本地，我改一下命令，然后执行：

aws s3 cp s3://iloveawscn/accountb_file . —profile accounta

提示拷贝发生错误，拒绝访问，这是为什么呢？

我们切换到accounta控制台页面，然后进入存储桶后找到accountb_file这个文件，在右侧面板属性可以看到很多属性是拒绝访问的。而我现在登陆到控制台的用户，是ACCOUNT A的根用户，在ACCOUNT A中拥有最大的管理员权限，但是同样还是提示拒绝访问这个文件。我们尝试下载这个文件，也无法下载。

这是很多学友比较困惑的地方，大家可以思考下原因，我们将在下节课讲解这部分内容。

好了，我们今天介绍了跨账户s3存储桶访问内容，希望大家能够通过今天的一系列的实操测试对这部分知识点有所掌握。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

AWS爱好者网址：www.iloveaws.cn
可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章
加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识
加入【AWS知识星球】持续学习。

我们今天的课程就到这里，感谢大家的观看，我们下一课程再见。

【 Domain 1的组织复杂性设计（Design for Organizational Complexity）】——-S3存储桶策略（S3 Bucket Policies）

AWS解决方案架构师认证 Professional / AWS Certified Solutions Architect– Professional系列的课程的最终目的是帮助大家顺利通过新版考试。随着后续系列课程的持续深入，我们的目标是将所有新版考试涉及到的内容、考点逐步推出系列课程，帮助大家备考。此系列课程也同样适用于想了解和学习AWS的同学，请大家多多支持。

Hello大家好，欢迎回来，我们今天的课程内容是S3存储桶策略。

基于资源的策略和基于用户策略

Amazon S3 提供的访问策略选项大致可分为 基于资源的策略和用户策略两类。附加到资源 (如存储桶和对象) 的访问策略称为基于资源的策略。例如，存储桶策略和访问控制列表 (ACL) 就是基于资源的策略。您也可以将访问策略附加到您账户中的用户。这些策略称为用户策略。您可以选择使用基于资源的策略、用户策略或这些策略的某种组合来管理您的 Amazon S3 资源权限。

我们今天课程的内容是基于资源策略的存储桶策略，那什么情况下需要使用存储桶策略呢？

通常来讲，在使用AWS时，一个和权限、策略相关的服务是IAM，它被用于在AWS账户下分配用户、组、角色使用资源的权限，您可以使用IAM为用户分配访问资源权限，然而，用户策略是用来管理您账户中用户的权限的。对于其他 AWS 账户或其他账户中用户的跨账户权限，则必须使用存储桶策略，而且，当您想基于存储桶来规划访问策略时就需要使用存储桶策略，存储桶策略是直接附加到存储桶上的。

下面我将会做一个演示，帮助大家了解存储桶策略的作用。

很多案例都在使用S3

现在大家看到的是AWS官方SAP-C01考试指南，在我们前面的课程出现过，这个PDF文件实际上是存储在AWS 上的S3存储桶中，我们可以使用curl命令验证下。我们复制一下URL，打开console，来验证下

curl -I https://d1.awsstatic.com/training-and-certification/docs-sa-pro/AWS_Certified_Solutions_Architect_Professional-Exam_Guide_EN_1.2.pdf

看下返回的信息，server 是amazons3 ，也就是说，aws将考试指南pdf放到了s3存储桶中，提供给所有人进行访问，任何人通过这个url，都可以访问并下载考试指南PDF。

我们在演示一个网站的案例，就是这个网站，AWS官方提供的AWS月成本计算器，我在工作中经常会使用这个网站，做一些AWS资源月使用成本的估算。

月成本计算器网站也是运行在S3中，我们同样使用curl命令来验证一下：

curl -I https://calculator.s3.amazonaws.com/index.html

同样可以看到这个网站也是托管在amazon s3上。

当前很多组织都在使用S3来托管网站、网页应用以及音、视频文件等等，因为它配置起来非常的简单。

配置对象允许所有人访问

下面我将演示上传一个文本文件到S3存储桶，并提供给所有人访问。

来到S3控制台，我们开始创建一个S3存储桶，名称为iloveawscn，区域就是目前的亚太区域就可以，然后下一步，完成存储桶的创建。

创建完成后，可以看到存储桶的访问属性是“存储桶和对象不是公有的”，也就是说存储桶和对象没有任何公有访问权限。

我们现在进入存储桶，然后上传一个txt文件，上传一个test.txt文件，不做任何配置，直接上传。

上传完成后，我们选择test.txt文件，在右侧可以看到对象的url，可以使用这个url打开或者下载这个文件。
我们复制下这个url , https://iloveawscn.s3-ap-northeast-1.amazonaws.com/test.txt

然后进入到console，curl一下这个url，看看是什么结果。不出所料，结果显示是拒绝访问的。因为现在存储桶缺省配置是阻止全部公共访问权限，所以当我们通过curl命令访问对象时就会被拒绝。

那如果您的应用场景是和前面的考试指南文件PDF一样，需要提供给所有用户访问或下载这个文件，最简单的方法就是把这个txt文件设置为公开，但在将这个对象设置为公开前，要先将这个存储桶的阻止公共访问权限关闭。现在还操作下:

进入这个存储桶，选择权限，然后编辑，将组织全部/公共访问权限的复选框去掉，然后保存。

然后点击test.txt文件，将其设置为公开。

好的，现在test.txt文件就成功设置为公开了，我们现在测试下，同样使用curl命令，我们先复制下这个文件的url，然后回到console，执行，可以看到我们已经可以成功访问这个txt文件，并获取到了文件的内容，说明我们这个txt文件已经成功设置成了公开，提供给所有人访问和下载。

开放允许特定IP段的存储桶策略

然而，还有一些应用场景，比如我现在只希望在我单位的网络情况下访问到存储桶中的文件，除此之外的网络禁止访问，也就是说，只开放允许特定的IP段访问存储桶对象，不在指定的IP段都希望是禁止访问的。要达成这个需求，就需要使用存储桶策略对允许访问的的IP以及相关配置项进行配置。

那我们现在就来配置一下吧：

我们现在进入到存储桶策略配置项，进入这个存储桶，选择权限-存储桶策略，现在策略是空的，没有内容。在存储桶策略中，可以对这个特定的存储桶进行各类访问控制配置。

那么接下来我们就要配置一个基于ip地址条件的存储桶策略。我已将策略准备好，现在将策略直接复制粘贴到这里。

我们看下这个策略的内容，Principal是*，代表所有；action配置的是所有s3动作，resource部分我们将这个存储桶的arn复制到这里。然后是ipaddress，需要将允许访问这个存储桶的ip替换到这里，我快速查看下我目前的公网ip :114.248.231.140，然后替换掉策略中的ip。注意我这里现在配置了我目前公网地址，是一个单独的ip地址，ip地址后面是/32，当然也可以配置成网段。DENY对应notipaddress，也就是只允许这个ip访问这个S3存储桶。

下面就是策略的内容，大家可以复制修改后使用。

{ "Version": "2012-10-17", "Id": "S3PolicyId1", "Statement": [ { "Sid": "statement1", "Effect": "Deny", "Principal": "*", "Action":["s3:*"] , "Resource": "arn:aws:s3:::examplebucket/*", "Condition" : { "NotIpAddress" : { "aws:SourceIp": "192.168.143.188/32" } } } ] }

目前存储桶策略就配置完了，策略已经生效，后面在当有向这个存储桶对象发出访问请求时， 存储桶策略将验证访问的ip是否为策略中配置的这个ip，如果是，将会允许对于这个s3存储桶的所有动作，如果不是这个ip，将拒绝访问这个存储桶。

我们测试下实际情况是不是这样的:

同样，复制下test.txt的url，进入到console，curl一下看返回结果，可以看到，可以成功返回文件内容，因为存储桶策略中目前配置的ip就是我现在的上网ip，所以我现在是可以访问test.txt的。

那接下来，我们将存储桶策略中的ip地址随便修改下，将它修改为和我现在的上网ip地址不同即可，然后，理论上当我在访问这个存储桶文件时就会由刚刚的允许访问变成禁止访问，这样才能说明刚加的限制ip访问的存储桶策略是生效的，那我们现在就测试下吧：

进入到我们创建的存储桶，然后选择存储桶策略，将里面的ip随便改一个，然后保存。

然后我们进入到console，再次执行下curl这个txt文件的url，发现已经是禁止访问了。说明我们的存储桶策略已经生效了，只有策略中指定的ip才可以访问存储桶中的对象。

好的，以上我们演示了一个存储桶策略的简单用例，希望能够通过这个简单的演示，能够让大家对于存储桶策略有个初步的认识，实际上，还有很多不同的存储桶策略，用来帮助我们达成的需求，我们之后的课程将进行讨论。

我们今天的课程就到这里，感谢大家的观看，我们下一课程再见。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

-AWS爱好者网址：www.iloveaws.cn
-可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章
-加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识
-加入【AWS知识星球】持续学习。