Warning: file_get_contents(/data/phpspider/zhask/data//catemap/1/amazon-web-services/12.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Amazon web services 限制对S3中对象的访问_Amazon Web Services_Amazon S3_Amazon Iam_Amazon Vpc - Fatal编程技术网
Fatal编程技术网

Amazon web services 限制对S3中对象的访问

amazon-web-services amazon-s3

Amazon web services 限制对S3中对象的访问,amazon-web-services,amazon-s3,amazon-iam,amazon-vpc,Amazon Web Services,Amazon S3,Amazon Iam,Amazon Vpc,我想限制对AmazonS3存储桶中存储的对象的访问 我想允许我们局域网上的所有用户(他们可能有也可能没有amazon凭据,因为整个基础设施不在AWS上)。我看过一些关于IP地址过滤和VPC端点的讨论。有人能帮我吗?我不确定是否可以使用VPC端点,因为我们局域网上的所有用户都不在亚马逊VPC中 这可能吗 谢谢以下是我将如何解决它 配置 Configure Users from a corporate directory who use identity federation with SAML.

我想限制对AmazonS3存储桶中存储的对象的访问

我想允许我们局域网上的所有用户(他们可能有也可能没有amazon凭据,因为整个基础设施不在AWS上)。我看过一些关于IP地址过滤和VPC端点的讨论。有人能帮我吗?我不确定是否可以使用VPC端点,因为我们局域网上的所有用户都不在亚马逊VPC中

这可能吗

谢谢

以下是我将如何解决它

配置

Configure Users from a corporate directory who use identity federation with SAML.
Create Groups
Apply Policies to Group
这将提供细粒度的控制和更少的维护开销。 这不仅可以帮助您控制S3,还可以帮助您控制将来迁移到AWS的任何工作负载以及对这些资源的权限

基于IP的过滤很容易存在安全风险,并且从长远来看具有高维护性,并且不可扩展

编辑:

添加更多文档以执行上述操作

将ADFS与AWS IAM集成:

IAM组:

以下是我将如何解决它

配置

Configure Users from a corporate directory who use identity federation with SAML.
Create Groups
Apply Policies to Group
这将提供细粒度的控制和更少的维护开销。 这不仅可以帮助您控制S3,还可以帮助您控制将来迁移到AWS的任何工作负载以及对这些资源的权限

基于IP的过滤很容易存在安全风险,并且从长远来看具有高维护性,并且不可扩展

编辑:

添加更多文档以执行上述操作

将ADFS与AWS IAM集成:

IAM组:

您的公司局域网很可能使用静态IP地址。您可以创建S3策略以允许基于IP地址的访问(或拒绝)。下面是一篇关于这方面的好文章:

VPC端点用于VPC到AWS服务的连接(基本上使用亚马逊的专用互联网而不是公共互联网。VPC端点不会帮助您实现公司连接(除非您使用直接连接)。

最有可能的情况是,您的公司LAN使用静态IP地址。您可以创建S3策略以允许访问(或拒绝访问)基于IP地址。以下是一篇关于此的AWS文章:

VPC端点用于VPC到AWS服务的连接(基本上使用亚马逊的专用互联网而不是公共互联网。VPC端点不会帮助您实现公司连接(除非您使用直接连接)。

您使用的身份验证提供商是什么?我们使用的是ADFS。您如何定义“我们局域网上的用户”?您可以通过IP地址限制访问,也可以向经过身份验证的AWS用户授予访问权限。您的网络和AWS之间是否有直接连接或VPN连接?AWS如何识别您的“我们局域网上的用户”?VPC端点仅适用于其他AWS VPC,而不适用于来自您局域网的其他连接。您使用的身份验证提供商是什么?我们使用的是ADFS。您如何定义“我们局域网上的用户”?您可以通过IP地址限制访问,也可以向经过身份验证的AWS用户授予访问权限。您的网络和AWS之间是否有直接连接或VPN连接?AWS如何识别您的“我们局域网上的用户”?VPC端点仅用于其他AWS VPC,而不用于其他局域网连接。我们正在使用ADFS。让我试着解释一下。基本上,我在S3存储桶中有一个名为index.html的文件。此html页面有到S3中其他对象的链接。我需要的解决方案是允许局域网用户访问html页面及其链接。我需要创建为用户组创建一个bucket策略并将其附加到bucket?我可能说的不正确,因为我是新手。感谢我是否需要使用Rotute 53进行此设置?添加了如何与ADF集成并创建IAM组。与路由53无关。一旦您拥有index.html,其中所有链接的URL都必须是相对的,而不是绝对的ute。您可以指定哪些用户属于IAM组,其他一切都将自动处理。我将尝试一下。谢谢!我们正在使用ADFS。让我试着解释一下。基本上,我在S3存储桶中有一个名为index.html的文件。此html页面有到S3中其他对象的链接。我需要的解决方案是允许LAN用户访问访问html页面和其中的链接。我是否需要为用户组创建一个bucket策略并将其附加到bucket?我可能说得不正确,因为我是新手。谢谢。我是否需要使用Rotute 53进行此设置?添加了如何与ADF集成并创建IAM组。与路由53无关。一旦你有了索引。html内部所有链接的URL必须是相对的,而不是绝对的。您可以指定哪些用户属于IAM组,其他所有内容都将自动处理。我将尝试一下。谢谢!