所以我正在审核s3存储桶的工作。我可以通过awscli手动检查存储桶权限:
aws s3 ls s3://bucketname
或通过Python使用boto3:
# list 1st 1000 objects (which I like if it is readable so I can
#assess risk quickly on larger buckets)
from boto3 import client
bucket_name = input("enter the bucket name")
connection = client('s3')
for key in connection.list_objects_v2(Bucket=bucket_name)['Contents']:
print(key['Key'])
我的问题是,如何使用Python读取存储桶列表(超过100个),并检查它们是否可公开读取。我应该在审核时提及我们使用虚拟aws帐户的一种方式来检查权限。
我在想类似的东西
bucketlist = open('buckets.txt', 'r')
现在,我很乐意打印该列表,但是对每一行运行该函数,我什么也没得到。如何使用awscli方法或Python boto3方法检查存储桶权限?
您可以使用上下文管理器打开文本文件,将每一行作为列表加载,然后遍历所有存储桶名称。然后,定义一个自定义函数来检查权限-这将取决于情况,但是我在下面提供了一些建议和boto文档链接。
您只需稍作修改即可使用上面的代码。 (请注意,这假设您文件的每一行都有一个存储桶名称。)
from boto3 import client
def check_bucket_permissions(client, bucket):
"""Function to check bucket permissions.
What you do here depends on what you want to check.
Examples given below."""
pass
# get a list of bucket names (strings)
with open('buckets.txt', 'r') as f:
bucket_names = f.readlines()
# check each bucket
connection = client('s3')
for bucket_name in bucket_names:
check_bucket_permissions(client, bucket_name)
对于check_bucket_permissions()功能,您有几种选择,具体取决于要查找的信息。检查谁可以访问存储桶的两种方法是(1)检查策略,以及(2)检查访问权限/访问控制列表。
[This AWS blog post为IAM策略,存储桶策略和存储桶的访问控制列表提供了一些背景知识,但简短的版本是:
[如果您使用经典的IAM策略方法,则可以使用get_bucket_policy() method查看哪些IAM策略文档应用于存储桶:
get_bucket_policy()如果没有存储桶策略,则将出现def check_bucket_permissions(client, bucket):
policy_doc = client.get_bucket_policy(Bucket=bucket)
# parse policy_doc, print or record the result
return
错误。
如果要检查存储桶ACL,则可以使用botocore.exceptions.ClientError: An error occurred (NoSuchBucketPolicy) when calling the GetBucketPolicy operation: The bucket policy does not exist代替get_bucket_acl() method方法:
get_bucket_acl()请参阅文档,以获取每种方法的示例JSON响应,以了解如何解析返回的结果。