我想限制对存储在Amazon S3存储桶中的对象的访问。
我想允许LAN上的所有用户(他们可能拥有或可能没有amazon凭据,因为整个基础架构不在AWS上)。我已经看到围绕IP地址过滤和VPC端点的一些讨论。有人可以帮我吗?我不确定我是否可以使用VPC端点,因为我们局域网上的所有用户都不在Amazon VPC中。
这可能吗?
由于
答案 0 :(得分:3)
您的公司LAN最有可能使用静态IP地址。您可以创建S3策略以允许基于IP地址访问(或拒绝)。这是一篇很好的AWS文章:
Restricting Access to Specific IP Addresses
VPC端点用于VPC到AWS服务连接(基本上使用亚马逊的私有互联网而不是公共互联网.VPC端点无法帮助您进行企业连接(除非您使用直接连接)。
答案 1 :(得分:1)
以下是我将如何解决它,
配置
Configure Users from a corporate directory who use identity federation with SAML.
Create Groups
Apply Policies to Group
这将提供细粒度控制并减少维护开销。 这不仅可以帮助您控制S3,还可以帮助您迁移到AWS以及将来对这些资源的权限。
基于IP的过滤容易产生安全风险,并且从长远来看具有高维护性且不可扩展。
编辑:
添加更多文档以执行上述操作,
将ADFS与AWS IAM集成:
IAM群组:
http://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html