Amazon web services S3限制对VPN的bucket访问

我已经为我的infra团队创建了一些私有文档，上传到S3 Bucket，并且希望它是私有的，只能在我们的VPN上访问

我试图允许这些vpn ip范围：173.12.0.0/16和173.11.0.0/16，但我一直得到403-禁止（vpn内部）

有人能帮我调试或找到我搞砸的地方吗

我的桶政策：

{
“版本”：“2012-10-17”，
“声明”：[
{
“Sid”：“vpnOnly”，
“效果”：“允许”，
“委托人”：“*”，
“操作”：“s3:GetObject”，
“资源”：“arn:aws:s3:：：calian.io/*”，
“条件”：{
“IP地址”：{
“aws:SourceIp”：[
"173.12.0.0/16",
"173.11.0.0/16"
]
}
}
}
]
}

默认情况下，S3请求通过互联网，因此请求“似乎”来自公共IP地址

或者，您可以为S3添加一个VPC端点，这将使请求“来自”私有IP地址

---

您也可以考虑使用对桶的访问控制。默认情况下，

，S3请求通过Internet >强>，因此请求将“显示”来自公共IP地址。

或者，您可以为S3添加一个VPC端点，这将使请求“来自”私有IP地址

---

您也可以考虑使用对桶的访问。

< P>从您试图访问S3桶的机器之一到“AWS检查我的IP”端点在

从那里确认您看到的IP地址在您在策略中定义的范围内。我的猜测是，情况会有所不同——相反，您将看到VPN或NAT网关/实例的公共ip地址，因为您的流量可能会通过internet到达S3

---

一旦您确定了您正在使用的IP地址，您可以更新安全组以将其包括在内，或者研究解决方案，例如VPC端点，以保持您的专用网络上的流量。

从您试图访问S3存储桶的其中一台机器转到位于的“AWS检查我的IP”端点

从那里确认您看到的IP地址在您在策略中定义的范围内。我的猜测是，情况会有所不同——相反，您将看到VPN或NAT网关/实例的公共ip地址，因为您的流量可能会通过internet到达S3

---

一旦您确定了正在使用的IP地址，您可以更新安全组以将其包括在内，或者研究解决方案（如VPC端点）以保持专用网络上的流量。

由于VPC端点只能从VPC内的Amazon EC2实例访问，因此本地实例必须先代理所有远程请求，然后才能访问 利用VPC端点连接。以下各节概述了基于DNS的代理解决方案，该解决方案将适当的流量从公司网络定向到 Amazon S3的VPC端点，如下图所示。

---

由于VPC端点只能从VPC内的Amazon EC2实例访问，因此本地实例必须代理所有远程请求才能访问 利用VPC端点连接。以下各节概述了基于DNS的代理解决方案，该解决方案将适当的流量从公司网络定向到 Amazon S3的VPC端点，如下图所示。

---

你说得对，事情就是这样。我想在访问我的S3存储桶之前，使用cloudfront+cognito+lambda edge获得某种身份验证。这应该行得通，对吧？这只是为了限制通过VPN访问您的网络？听起来有点过分了。你可以自由地提出一个新问题，其中包括你想要完成的事情的更多细节。你是对的，这就是正在发生的事情。我想在访问我的S3存储桶之前，使用cloudfront+cognito+lambda edge获得某种身份验证。这应该行得通，对吧？这只是为了限制通过VPN访问您的网络？听起来有点过分了。你可以自由地提出一个新问题，详细说明你想要完成的任务。