我想只允许特定的EC2实例使用S3存储桶策略中的EC2实例标签访问特定的S3存储桶。
要在使用Saltstack创建存储桶的过程中设置存储桶策略的运行时间。
我在S3存储桶策略中使用sourceip条件尝试了此操作,但是我将没有源EC2实例的公共IP地址。
答案 0 :(得分:1)
这不可能。
对Amazon S3进行API调用时,不会发送有关原始计算机的信息。因此,标签不可访问。
您可以通过限制对已分配给该实例的 IAM角色的访问来限制对特定EC2实例的访问(因此,它实际上是按角色(而非实例)进行限制),也可以使用 VPC网关,并限制S3存储桶只能通过VPC网关运行,再加上一项安全策略,该访问策略将对VPC网关的访问限制为仅EC2实例(我认为)。
IAM角色将是首选方法。