限制对S3中对象的访问

时间:2017-09-24 18:24:04

标签: amazon-web-services amazon-s3 amazon-iam amazon-vpc

我想限制对存储在Amazon S3存储桶中的对象的访问。

我想允许LAN上的所有用户(他们可能拥有或可能没有amazon凭据,因为整个基础架构不在AWS上)。我已经看到围绕IP地址过滤和VPC端点的一些讨论。有人可以帮我吗?我不确定我是否可以使用VPC端点,因为我们局域网上的所有用户都不在Amazon VPC中。

这可能吗?

由于

2 个答案:

答案 0 :(得分:3)

您的公司LAN最有可能使用静态IP地址。您可以创建S3策略以允许基于IP地址访问(或拒绝)。这是一篇很好的AWS文章:

Restricting Access to Specific IP Addresses

VPC端点用于VPC到AWS服务连接(基本上使用亚马逊的私有互联网而不是公共互联网.VPC端点无法帮助您进行企业连接(除非您使用直接连接)。

答案 1 :(得分:1)

以下是我将如何解决它,

配置

Configure Users from a corporate directory who use identity federation with SAML.
Create Groups
Apply Policies to Group

这将提供细粒度控制并减少维护开销。 这不仅可以帮助您控制S3,还可以帮助您迁移到AWS以及将来对这些资源的权限。

基于IP的过滤容易产生安全风险,并且从长远来看具有高维护性且不可扩展。

编辑:

添加更多文档以执行上述操作,

将ADFS与AWS IAM集成:

https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/

IAM群组:

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html

相关问题
最新问题