Question

我在AWS上有以下用例：

用于＆＃34;主持人＆＃34;一个内置的Web应用程序，内置于AngularJS
自动缩放组中可以修改存储桶内容的服务器池

为了确保只在内部提供存储桶内容，我使用了以下存储桶策略来限制对静态IP的访问：

{
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::mybucket.myhost.com/*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "x.x.x.x/32"
                    ]
                }
            }
        }
    ]
}

这非常适合阻止我们办公室以外的任何人通过HTTP访问存储桶。完美。

但是，自动扩展组中的服务器（使用IAM角色对存储区具有完全权限）无法访问存储区。似乎S3存储桶策略优先。我无法将其IP添加到存储桶策略中，因为它是一个扩展组，其IP将定期更改。

我尝试了一些解决方案，但没有任何乐趣：

使用＆＃34;允许＆＃34;指定第二个语句以我的IAM角色的ARN作为原则
尝试寻找允许EC2安全组完全访问但无法找到选项的方法
尝试寻找使IAM角色优先于存储桶策略的方法

我觉得这应该很简单，但我现在感到沮丧:(

Answer 1

我意识到我的存储桶中的所有对象都有公共读取ACL。我删除了公共读取ACL，因此对象默认为“拒绝”。然后，我可以使用这样的策略来访问我们的办公室IP和我们的自动扩展EC2服务器，这些服务器由其IAM角色标识：

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::mybucket.myhost.com/*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "x.x.x.x/32"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::xxxxxxxxxxxx:role/xxxxxx"
            },
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::mybucket.myhost.com/*"
        }
    ]
}

通过IP限制对S3存储桶的访问，而不会影响IAM凭据

1 个答案: