Ограничение доступа к ведомости S3 для VPC

Ответ 1

Я просто получил это, чтобы работать. Я должен был сделать две вещи. 1) Создайте политику ведра в ведро S3, 2) создайте "конечную точку VPC"

Моя политика корзины S3 выглядит так (конечно, введите имя вашего ведра и идентификатор VPC):

{
    "Version": "2012-10-17",
    "Id": "Policy1234567890123",
    "Statement": [
        {
            "Sid": "Stmt1234567890123",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::my_bucket/*",
            "Condition": {
                "StringEquals": {
                    "aws:sourceVpc": "vpc-12345678"
                }
            }
        }
    ]
}

В ведро S3 также есть некоторые разрешения за пределами политики ведра, чтобы разрешить доступ с консоли AWS. Выполнение вышеуказанного не давало доступа. Чтобы получить доступ, мне также пришлось перейти в AWS Console → VPC → Endpoints, а затем создать конечную точку. Я привязал вновь созданную конечную точку к единственной политике маршрутизации, которую имеет учетная запись на данный момент (к которой привязаны все подсетей), и я использовал политику по умолчанию

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

Как только я создал конечную точку, я смог прочитать из ведра S3 из любого экземпляра EC2 в своем VPC, просто используя wget с правильным URL. Я все еще могу получить доступ к ведру с консоли AWS. Но если я попытаюсь получить доступ к URL-адресу из-за пределов VPC, я получаю запрет 403. Таким образом, доступ к ведро S3 ограничен одним VPC, как и то, что вы ищете.

Это, по-видимому, новая функция. Для получения дополнительной информации см. Эту запись в блоге AWS.

Ответ 2

Две вещи, которые меня укусили, и которые могут быть полезны для добавления к Эдди приятного ответа:

Во-первых, вы не сможете просмотреть свой ковш (или даже изменить его политику после установки политики выше) в консоли S3 AWS, если вы также не предоставите разрешениям пользователей AWS управлять ведром. Чтобы сделать это, найдите свой номер учетной записи AWS (отображается в верхнем правом здесь) и добавьте это выражение в операторы политики bucket список:

    {
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::YOUR_AWS_ACCOUNT_NUMBER:root"
        },
        "Action": "s3:*",
        "Resource": [
            "arn:aws:s3:::ess.raw.scan1",
            "arn:aws:s3:::ess.raw.scan1/*"
        ]
    },

Во-вторых, если у вас есть несколько VPC, скажите vpc-XXXXXX и vpc-YYYYYY, чтобы предоставить доступ, утверждение в ответе Эдди должно быть изменено на что-то вроде следующего (обратите внимание на "Разрешить" "StringEquals" и список значений sourceVpc:

... 
"Effect": "Allow",
...
"Condition": {
    "StringEquals": {
        "aws:sourceVpc": [
            "vpc-XXXXXXXX",
            "vpc-YYYYYYYY"
        ]
    }

Ответ 3

Нет, вы не можете этого сделать.

Здесь другой человек спрашивает то же самое: https://forums.aws.amazon.com/thread.jspa?threadID=102387

Некоторые из них стали чрезмерно творческими с проблемой, пытаясь решить ее с помощью сетей: https://pete.wtf/2012/05/01/how-to-setup-aws-s3-access-from-specific-ips/

Я предпочитаю более простой маршрут, S3 позволяет подписать URL-адреса для решения этой самой проблемы, но внутри вашего VPC вы, возможно, захотите не думать о подписании - или вы просто не могли подписываться, например, вы могли бы использовать wget и т.д. Поэтому я написал эту небольшую микросервис по этой причине: https://github.com/rmmeans/S3-Private-Downloader

Надеюсь, что это поможет!

ОБНОВЛЕНО:

AWS теперь имеет функцию для конечных точек VPC: https://aws.amazon.com/blogs/aws/new-vpc-endpoint-for-amazon-s3/, вы должны использовать это, а не то, что я ранее предлагал.