这是 s3aclp 命令,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
s3acl - 显示或操作 AWS S3 存储桶和项目的 ACL
概要
s3acl [选项] [[bucket|bucket/key] ...]
选项:
--access-key AWS 访问密钥 ID
--secret-key AWS 秘密访问密钥
--get 将 ACL 输出到 STDOUT
--xml 以原始 XML 形式而不是解析形式
--set 修改ACL
--clear 从 ACL 中删除所有授权
--add grant,grant,... 向 ACL 添加授权
--del grant,grant,... 从 ACL 中删除匹配的授权
--xml 将来自 STDIN 的 XML ACL 应用于项目
--acl-short cannedacl 将 "canned" ACL 应用于项目
环境:
AWS_ACCESS_KEY_ID
AWS_ACCESS_KEY_SECRET
配置
- 帮帮我 打印简短的帮助消息并退出。
- 男人 打印手册页并退出。
--详细
输出正在做的事情。
--访问密钥 和 - 密钥
为 AWS 账户指定“AWS 访问密钥标识符”。 --访问密钥 是
“访问密钥 ID”,以及 - 密钥 是“秘密访问密钥”。 这些是
AWS 帐户的有效“用户名”和“密码”,应妥善保管
机密。
必须通过这些命令行参数指定访问密钥,或者
通过 AWS_ACCESS_KEY_ID 和 AWS_ACCESS_KEY_SECRET 环境变量。
在命令行上指定它们会覆盖环境变量。
- 安全的
使用 SSL/TLS HTTPS 而非 HTTP 与 AWS 服务进行通信。
- 得到 检索并显示每个指定存储桶或项目的 ACL。
--xml 当与 - 得到 选项,输出到标准输出原始 XML,而不是解析
格式。 此原始 XML 记录在“Amazon S3 开发人员指南”中。
如果指定了多个桶或项目,将输出每个的 XML ACL,
串联在一起。 这可能不是很有用。
原始 XML 输出可用作 - 放 选项,像这样:
s3acl --get --xml bucketA | s3acl --set --xml 桶B 桶C
这在指定多个桶或项目时不起作用 - 得到
选项,因为多个 XML ACL 的串联不是有效的 XML ACL。
- 放 修改它而不是显示 ACL。 可以通过使用修改 ACL
- 清除, - 添加及 --删除,或通过使用 --xml,或通过使用 --acl-短.
- 清除 从 ACL 中删除所有授权。 这包括所有者的访问
桶或物品。 这是在 - 添加 or --删除 选项被应用,没有
无论在命令行上指定什么顺序选项。
它通常伴随着 - 添加 选择将一些赠款添加回现在
空 ACL。
--删除 从 ACL 中删除匹配的授权。 这是在 - 添加 选项是
应用,无论在命令行上指定什么顺序选项。
授权以解析形式指定,然后用逗号连接在一起,没有
空白。
解析授权格式有一个扩展。 如果受赠人被指定为
“ANY”,则它匹配 ACL 中的任何和所有被授予者。 如果权限是
指定为“ANY”,则它匹配任何权限。 因此
s3acl --set --del ANY:READ mybucket
删除所有授予 READ 权限的授权,以及
s3acl --set --del someuserid:ANY mybucket
删除对用户 someuserid 的所有授权
s3acl --set --del ANY:ANY mybucket
做同样的事情
s3acl --set --clear mybucket
由于 S3 API 语义的限制,无法删除
受让人通过电子邮件地址,只能通过规范 ID。
- 添加 将指定的授权添加到 ACL。 授权以解析形式指定,并且
然后用逗号连接在一起,没有空格。
可以多次向存储桶或项目添加相同的授权。 这是
S3 服务令人惊讶的行为。
--xml 当与 - 放, 而不是使用 <--clear>, <--del>, 和 - 添加,读一个
来自 STDIN 的原始 XML ACL,然后将其应用于每个给定的存储桶或项目。 这会
完全覆盖每个给定存储桶或项目的现有 ACL。
--acl-短
而不是使用 <--clear>、<--del> 和 - 添加,或使用 <--xml>,应用“罐头
ACL”到每个给定的存储桶或项目。这将完全覆盖现有的
每个给定存储桶或项目的 ACL。
S3 当前定义了以下固定 ACL:
私立 所有者获得“FULL_CONTROL”。 其他人没有任何访问权限。 这是
新创建的存储桶和项目的默认值。
公众阅读
所有者获得“FULL_CONTROL”。 匿名主体被授予“读取”权限
访问。
公共读写
所有者获得“FULL_CONTROL”。
匿名主体被授予“读取”和“写入”访问权限。 这是一个
适用于存储桶的有用策略(如果您打算用于任何匿名用户)
将对象放入存储桶。
认证读取
所有者获得 "FULL_CONTROL" 。 任何被认证为注册的委托人
Amazon S3 用户被授予“读取”访问权限。
桶 or 桶/钥匙
一个或多个存储桶名称或存储桶和键名称,指定一个项目。 像......一样多
可能会被处理。
如果只给出了存储桶名称,则检索或修改该存储桶的 ACL。
如果给定了以斜杠分隔的存储桶名称和键,则该键的 ACL
在该存储桶中检索或修改。
如果存储桶名称以一个或多个破折号开头,则可能会被误认为是
命令行选项。 如果是这种情况,请将命令行选项与
带有两个破折号的存储桶或存储桶/键名称,如下所示:
s3acl --get -- --bucketname/keyname
环境 变数
AWS_ACCESS_KEY_ID 和 AWS_ACCESS_KEY_SECRET
为 AWS 账户指定“AWS 访问密钥标识符”。 AWS_ACCESS_KEY_ID
包含“访问密钥 ID”,以及 AWS_ACCESS_KEY_SECRET 包含“秘密
访问密钥”。这些实际上是 AWS 的“用户名”和“密码”
服务,并应予以保密。
必须通过这些环境变量或通过
此 --访问密钥 和 - 密钥 命令行参数。
如果设置了命令行参数,它们将覆盖这些环境变量。
配置 文件
将从文件“读取配置选项”~/.s3-工具" 如果它存在。
格式与命令行选项相同,每行一个选项。 例如,
文件可能包含:
--访问密钥
- 密钥
- 安全的
此示例配置文件将指定 AWS 访问密钥和安全的
所有通信都应使用使用 HTTPS 的连接。
商品描述
检索和输出存储桶和存储桶中项目的访问控制列表 (ACL)
亚马逊简单存储服务 (S3)。
Principals
(以下大部分文字摘自《Amazon S3 开发人员指南(API 版本)》
2006-03-01)"。)
每个存储桶和项目都有一个访问控制列表 (ACL)。 当发出请求时,S3
确定发出请求的主体,然后检查访问控制列表以
查看该委托人是否有权提出请求。 如果 ACL 包含一个条目
授权该委托人提出此请求,该请求被允许继续进行,
否则返回错误。
委托人可能是拥有 AWS S3 帐户且已登录或“经过身份验证”的人。
委托人可能是存储桶或项目的创建者和所有者。 或者校长
可能是互联网上的某个匿名网络浏览器。
ACL is 序列 of 补助。 A 授予 is 1 受赠人 和 1 允许。
访问控制列表是一系列授权。 它最多可包含 100 个赠款。 补助金
由一名受让人组成,这是对将被允许的委托人的描述
访问和一个权限,它是对允许主体做什么的描述
用那个桶或物品。
用户 受赠人
用户受让人必须注册为 Amazon.com 客户,但不必是
注册为 AWS 客户。
读取 ACL 时,用户被授权者将以规范格式显示,即
由 64 个十六进制字符组成。 受让人是所有者的情况除外。 亚马逊
仍然以规范形式存储和返回受赠者,但此工具将其显示为
“所有者”。
团队 受赠人
唯一可用的组是由 S3 预定义的组。 在 S3 的当前版本中,您
无法创建自己的组。 目前有两个预定义的组。
第一个由此工具的字符串“WORLD”表示。 所有校长,无论他们
是匿名的或经过身份验证的,被视为该组的一部分。
第二个由此工具的字符串“USERS”表示。 每个非匿名
校长被视为组的一部分。 请注意,由此授予的许可
grant 不会胜过其他访问控制考虑因素。 例如,如果用户是
在 AWS 注册,他们可能是这个组的一部分,但如果他们没有订阅
S3,他们仍然不会被授予访问权限。
还有一个带有字符串“ANY”的特殊伪组。 它由 --删除
选项与 ACL 项匹配以选择删除。
如果 Amazon 在更新此工具之前更新 S3 以定义任何其他组,则它们
将表示为由尖括号括起来的 URI。
所有者
S3 中的每个存储桶和项目都有一个与之关联的所有者属性。 所有者 用户
创建了存储桶或项目。 更改存储桶所有者的唯一方法是删除
存储桶并以不同的用户身份再次创建它。 改变的唯一方法
项目的所有者将使用不同的身份覆盖项目。
存储桶或项目的所有者受该存储桶的访问控制策略或
项目就像其他人一样,但有两个明显的例外: 资源的所有者总是
有能力读取和写入该资源的 ACL,无论关联的是什么
ACL 说。 例如,作为项目的所有者,您可以将自己从
关联的访问控制列表,发现无法再读取该项目的数据和
元数据。 但是,作为所有者,您始终有权重新授予
自己的权限。 此政策可防止物品变成
“搁浅”,没有人能够修改甚至删除它。
权限
授权中的权限描述了授予相应权限的访问类型
受让人。 支持以下权限:
READ 当应用于存储桶时,这将授予列出存储桶的权限。 应用时
对于一个项目,这授予读取项目数据和/或元数据的权限。
WRITE 当应用于存储桶时,这将授予创建、覆盖和删除的权限
桶中的任何物品。 项目不支持此权限(已保留
以备将来使用)。
读ACP
授予读取访问控制策略(ACL 和所有者)的权限
适用的桶或物品。 存储桶或物品的所有者始终拥有此
隐式许可。
写_ACP
授予覆盖适用存储桶或项目的 ACP 的权限。 这
存储桶或项目的所有者始终隐式拥有此权限。 注意
授予此权限等同于授予 FULL_CONTROL,因为授予
收件人现在可以对他或她喜欢的 ACP 进行任何更改!
完全控制
此权限是 READ、WRITE、READ_ACP 和
WRITE_ACP 权限。 它不传达额外的权利,仅提供
为了方便。 将此许可授予 WORLD 可能是不明智的。
ANY 这不是真正的许可,而是由 --删除 选项。 它匹配任何
选择要删除的授权的权限。
默认 ACL
如果在创建存储桶或写入项目时未提供 ACL,则默认
ACL 已创建。 新资源的默认 ACL 包含一个授予
资源的所有者(即请求创建存储桶的委托人或
写入项目)FULL_CONTROL 权限。 请注意,如果您覆盖现有项目,
现有项目的 ACL 也总是被覆盖,并默认回
OWNER:FULL_CONTROL 如果未提供显式 ACL。
原 XML ACL 格式
XML ACL 格式记录在“Amazon S3 开发人员指南”中。
已解析 ACL 格式
此工具将原始 XML ACL 格式解析为更具可读性的形式。
解析的 ACL 由多行组成。 注释是以哈希开头的行
特点。 不是注释的行是授权。
对于存储桶,注释给出了存储桶名称和 Amazon 规范用户字符串
主人。
对于项目,评论给出了存储桶名称、项目键和亚马逊规范用户
所有者的字符串。
授权是被授权者字符串和权限字符串,用冒号分隔。 一种
grantee 可以是字符串“OWNER”、“WORLD”或“USERS”之一,或以角度包裹的 URI
括号,或亚马逊用户的电子邮件地址,或亚马逊规范用户字符串,
是 64 个十六进制字符。 权限是字符串“READ”、“WRITE”、“READ_ACP”之一,
“WRITE_ACP”或“FULL_CONTROL”。
$ ./s3getacl 示例
# 桶:示例
# owner: 5a1568e09392dad4b4ceb54f29f0a64d651a531350d6f720fbd2367eed995f08
所有者:FULL_CONTROL
a00490decea9d0ad76e5ef8b450b3efa63861adccfb9197cfb42f837eb222df2:WRITE
用户:阅读
世界:阅读
$ ./s3getacl 示例/thingee
# 桶:示例
# 项目:thingee
# owner: 5a1568e09392dad4b4ceb54f29f0a64d651a531350d6f720fbd2367eed995f08
所有者:FULL_CONTROL
$_
使用 onworks.net 服务在线使用 s3aclp
