注册
登录
白名单
AWS S3存储桶策略白名单
返回
AWS S3存储桶策略白名单
作者:
哇塞
发布时间:
2024-11-11 06:35:03 (1天前)
转自:
<div class =“excerpt”> 我有一个存储桶策略,可以在AWS中将我的IP范围列入白名单。我有一个运行Packer构建作业的EC2服务器,它试图从我的存储桶中提取一个对象,我得到403 Forbidden错误,甚至...... </DIV>
收藏
举报
3 条回复
0#
回复此人
冷月如霜·胡狼
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> Amazon S3存在于Internet上。 </p> <P> 因此,在与S3通信时,您的系统将使用a 的<strong> 公共IP地址 </强> 。 </p> <P> 但是,您的政策仅包括 的<strong> 私有IP地址 </强> 。这就是为什么它不起作用。 </p> <P> 你的选择是: </p> <UL> <LI> 修改策略以使用 的<strong> 公共IP地址 </强> 如果您的实例位于私有子网中,则实例或NAT网关的公共IP地址, <EM> 要么 </EM> </LI> <LI> 创建一个 <a href="https://docs.aws.amazon.com/vpc/latest/userguide/vpce-gateway.html" rel="nofollow noreferrer"> 网关VPC端点 </A> 将VPC直接连接到Amazon S3。然后,您可以配置仅通过VPC端点接受流量的存储桶策略。 </LI> </UL> </DIV>
编辑
1#
回复此人
一瓶泡沫
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> <code> aws:sourceIp </code> 期待一个 <EM> 上市 </EM> IP地址。根据定义,私人地址不明确,而且 <code> 10.x.x.x/12 </code> 是一个私有(RFC-1918)地址,所以它永远不会匹配。 </p> <P> 如果您未使用S3 VPC端点,则可以将NAT网关的公共IP地址列入白名单(假设所有可访问thr网关的实例都应该能够访问该存储区)。 </p> <P> 如果您使用的是S3 VPC端点,则无法通过IP列入白名单: </p> <BLOCKQUOTE> <P> 您不能在IAM策略中使用aws:SourceIp条件来通过VPC端点向Amazon S3发出请求。这适用于用户和角色的IAM策略以及任何存储桶策略。如果语句包含aws:SourceIp条件,则该值无法匹配任何提供的IP地址或范围。 </p> <P> <a href="https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html" rel="nofollow noreferrer"> https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html </A> </p> </BLOCKQUOTE> <P> 还有,这是: </p> <BLOCKQUOTE> <P> 注意:最好不要使用 <code> aws:SourceIp </code> 条件键。 </p> <P> <a href="https://aws.amazon.com/premiumsupport/knowledge-center/iam-restrict-calls-ip-addresses/" rel="nofollow noreferrer"> https://aws.amazon.com/premiumsupport/knowledge-center/iam-restrict-calls-ip-addresses/ </A> </p> </BLOCKQUOTE> </DIV>
编辑
登录
后才能参与评论
