Amazon web services 如何访问我的AWS帐户';s控制台和API是否仅限于来自我的VPN的连接?
我想将AWS帐户的访问权限限制为VPN。我看到了使用sourceIP作为IP白名单的选项,以及我的代理和AWS IPAmazon web services 如何访问我的AWS帐户';s控制台和API是否仅限于来自我的VPN的连接?,amazon-web-services,aws-cli,amazon-vpc,Amazon Web Services,Aws Cli,Amazon Vpc,我想将AWS帐户的访问权限限制为VPN。我看到了使用sourceIP作为IP白名单的选项,以及我的代理和AWS IP 有没有办法将对AWS API的调用也限制为VPN?我不是在寻找VPC端点阻塞。您可以为您的用户设置iam策略,以添加仅在源IP与您的代理匹配时才允许的 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource":
有没有办法将对AWS API的调用也限制为VPN?我不是在寻找VPC端点阻塞。您可以为您的用户设置iam策略,以添加仅在
源IP
与您的代理匹配时才允许的
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*,
"Condition": {
"IpAddress" : {
"aws:SourceIp" : ["192.0.2.0/24"]
}
}
}
]
}
将
aws:SourceIp
设置为您的VPN连接到的IP将IP限制到我的代理(非VPN)不会将我的通信隧道到aws API。是的,SourceIp是我的备用选项。@user6317694控制台总是通过Internet访问。。。您会发现,即使是这个答案也不能适用于所有情况,因为有时交互是console>service 1>service 2,例如当EC2在启动带有加密卷的实例时调用KMS。服务1将不使用您的源地址,请求将因源ip阻塞而失败。我可以想到的一个选项是使用弹性ip创建EC2实例,通过VPN连接到此VM,并仅允许从此弹性ip访问服务。但从EC2到AWSAPI的服务调用不是又通过互联网了吗?我可以放弃常规任务的控制台访问权。再想一想,这将需要在多个AZ中作为堡垒主机的非扩展构建服务器。这听起来已经很可笑了。