Amazon s3 允许雅典娜和白色列出的IP地址访问数据
我计划为名为“Athenadata 162”的存储桶设置此S3存储桶策略。 我只希望2个office IP地址和当前帐户中的athena用户能够访问此bucket。 我想知道这项政策是否正确地用于此目的。 它基于以下博客文章: 我不知道如何正确设置此部件Amazon s3 允许雅典娜和白色列出的IP地址访问数据,amazon-s3,amazon-iam,amazon-athena,Amazon S3,Amazon Iam,Amazon Athena,我计划为名为“Athenadata 162”的存储桶设置此S3存储桶策略。 我只希望2个office IP地址和当前帐户中的athena用户能够访问此bucket。 我想知道这项政策是否正确地用于此目的。 它基于以下博客文章: 我不知道如何正确设置此部件 "Principal": { "AWS": "arn:aws:iam::111122223333:role/BizMetricsQuery" }, 以下是我尝试过的
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/BizMetricsQuery"
},
以下是我尝试过的:
{
"Version": "2008-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::testme1623/*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"1.2.3.4/32",
"5.6.7.8/32"
], "aws:CalledVia": "athena.amazonaws.com"
}
}
}
]
}
如果我没有使用NotIpAddress的第二个条件语句,则IP地址将正确列出,但Athena无法访问文件。使用Athena运行查询时,访问S3的是Athena服务,S3/IAM将看到其IP,而不是客户端的。您所能做的最好的事情可能是像您这样使用
aws:CalledVia
限制对bucket的访问,并在Athena级别应用IP限制,例如Athena:StartQueryExecution
——当然,这不是一回事
您还可以设置,然后将对bucket的访问限制为仅该角色。用户需要在运行查询之前担任该角色,并且只能从指定的IP号码担任该角色。Athena不支持基于aws:SourceIp条件密钥限制或允许访问Amazon S3资源。参考