Amazon web services S3限制对VPN的bucket访问
我已经为我的infra团队创建了一些私有文档,上传到S3 Bucket,并且希望它是私有的,只能在我们的VPN上访问 我试图允许这些vpn ip范围:173.12.0.0/16和173.11.0.0/16,但我一直得到403-禁止(vpn内部) 有人能帮我调试或找到我搞砸的地方吗 我的桶政策:Amazon web services S3限制对VPN的bucket访问,amazon-web-services,amazon-s3,vpn,bucket,Amazon Web Services,Amazon S3,Vpn,Bucket,我已经为我的infra团队创建了一些私有文档,上传到S3 Bucket,并且希望它是私有的,只能在我们的VPN上访问 我试图允许这些vpn ip范围:173.12.0.0/16和173.11.0.0/16,但我一直得到403-禁止(vpn内部) 有人能帮我调试或找到我搞砸的地方吗 我的桶政策: { “版本”:“2012-10-17”, “声明”:[ { “Sid”:“vpnOnly”, “效果”:“允许”, “委托人”:“*”, “操作”:“s3:GetObject”, “资源”:“arn:aw
{
“版本”:“2012-10-17”,
“声明”:[
{
“Sid”:“vpnOnly”,
“效果”:“允许”,
“委托人”:“*”,
“操作”:“s3:GetObject”,
“资源”:“arn:aws:s3:::calian.io/*”,
“条件”:{
“IP地址”:{
“aws:SourceIp”:[
"173.12.0.0/16",
"173.11.0.0/16"
]
}
}
}
]
}
默认情况下,S3请求通过互联网,因此请求“似乎”来自公共IP地址
或者,您可以为S3添加一个VPC端点,这将使请求“来自”私有IP地址
您也可以考虑使用对桶的访问控制。默认情况下,
,S3请求通过Internet >强>,因此请求将“显示”来自公共IP地址。 或者,您可以为S3添加一个VPC端点,这将使请求“来自”私有IP地址您也可以考虑使用对桶的访问。
< P>从您试图访问S3桶的机器之一到“AWS检查我的IP”端点在 从那里确认您看到的IP地址在您在策略中定义的范围内。我的猜测是,情况会有所不同——相反,您将看到VPN或NAT网关/实例的公共ip地址,因为您的流量可能会通过internet到达S3一旦您确定了您正在使用的IP地址,您可以更新安全组以将其包括在内,或者研究解决方案,例如VPC端点,以保持您的专用网络上的流量。从您试图访问S3存储桶的其中一台机器转到位于的“AWS检查我的IP”端点 从那里确认您看到的IP地址在您在策略中定义的范围内。我的猜测是,情况会有所不同——相反,您将看到VPN或NAT网关/实例的公共ip地址,因为您的流量可能会通过internet到达S3
一旦您确定了正在使用的IP地址,您可以更新安全组以将其包括在内,或者研究解决方案(如VPC端点)以保持专用网络上的流量。由于VPC端点只能从VPC内的Amazon EC2实例访问,因此本地实例必须先代理所有远程请求,然后才能访问 利用VPC端点连接。以下各节概述了基于DNS的代理解决方案,该解决方案将适当的流量从公司网络定向到 Amazon S3的VPC端点,如下图所示。
由于VPC端点只能从VPC内的Amazon EC2实例访问,因此本地实例必须代理所有远程请求才能访问 利用VPC端点连接。以下各节概述了基于DNS的代理解决方案,该解决方案将适当的流量从公司网络定向到 Amazon S3的VPC端点,如下图所示。
你说得对,事情就是这样。我想在访问我的S3存储桶之前,使用cloudfront+cognito+lambda edge获得某种身份验证。这应该行得通,对吧?这只是为了限制通过VPN访问您的网络?听起来有点过分了。你可以自由地提出一个新问题,其中包括你想要完成的事情的更多细节。你是对的,这就是正在发生的事情。我想在访问我的S3存储桶之前,使用cloudfront+cognito+lambda edge获得某种身份验证。这应该行得通,对吧?这只是为了限制通过VPN访问您的网络?听起来有点过分了。你可以自由地提出一个新问题,详细说明你想要完成的任务。