Как удалить пользователя "получателя" с вкладки "Права доступа" S3?

Это действительно вопрос из двух частей:

Я вижу некоторых пользователей в раскрывающемся списке "Грантополучатель" для редактирования разрешений S3 в консоли AWS.

  • Откуда берутся эти пользователи?
  • Как удалить их?

Они не в IAM, поэтому я не уверен, откуда они.

Ответ 1

Грантополучателем может быть либо учетная запись AWS (которую вы, вероятно, добавили в прошлом), либо предопределенная AWS-группа, например "Аутентифицированные пользователи", "Все пользователи" или "Доставка журнала". Для получения дополнительной информации см. Обзор ACL на документах AWS.

Для удаления грантов из заданного файла (или из набора файлов) вы можете использовать операцию PUT Object acl.

В документации не ясно, что вам нужно сделать, чтобы удалить пользователя из списка "Грантополучатель". Я провел несколько тестов, и вот как работает S3:

  • Если вы выберете файл с помощью консоли управления S3 и добавите разрешение новому пользователю (еще не указанному в списке получателей), используя свой адрес электронной почты (убедитесь, что письмо принадлежит действующей учетной записи Amazon), этот пользователь НЕ перейдите в ACL ведра, но перейдите к объекту ACL. Этот пользователь также постоянно переходит к списку грантополучателей (хотя его дружеское имя, а не его адрес электронной почты, это то, что появляется там).
  • Если вы выходите из консоли AWS и снова входите в систему, пользователь все еще находится в списке грантополучателей, и вы можете предоставить ему разрешения для других объектов.
  • Если вы удалите данные разрешения для каждого объекта, выйдите из системы и снова войдите в систему, пользователь больше не будет отображаться в списке грантополучателей.
  • Если вы добавите данного пользователя в ACL Bucket (через API или через консоль AWS), пользователь всегда будет находиться в списке грантов для объектов в этом ковше.

Это заставляет меня думать, что список грантополучателей содержит весь список пользователей в вашем ведомом ACL плюс кэш пользователей с разрешениями на объекты в вашем ковше (который очищается при выходе из системы, если вы удаляете эти разрешения).

Итак, я бы попробовал сначала удалить пользователей, которых вы не хотите, из ACL вашего ведра, а затем (через API, конечно) удалите эти разрешения пользователей для объектов в вашем ковше.

Ответ 2

Если существует конкретное имя получателя, которое вы не можете найти в IAM, это, вероятно, получатель по умолчанию, который соответствует самому себе. Его имя совпадает с вашим прозвищем Forum AWS.