【发布时间】:2019-10-15 04:27:20
【问题描述】:
我想只允许特定的 EC2 实例使用 S3 存储桶策略中的 EC2 实例标签访问特定的 S3 存储桶。
想在使用 saltstack 创建存储桶的过程中设置存储桶策略运行时。
我在 S3 存储桶策略中使用 sourceip 条件尝试了此操作,但我不会拥有源 EC2 实例的公共 IP 地址。
【问题讨论】:
标签: amazon-web-services amazon-s3 amazon-ec2
【发布时间】:2019-10-15 04:27:20
【问题描述】:
这是不可能的。
当对 Amazon S3 进行 API 调用时,不会发送有关原始计算机的信息。因此,标签不可访问。
您可以通过限制对已分配给实例的 IAM 角色 的访问来限制对特定 EC2 实例的访问(因此它实际上是按角色而不是实例进行限制),或者您可以使用VPC 网关 并将 S3 存储桶限制为仅通过 VPC 网关工作,以及将 VPC 网关的访问权限仅限于 EC2 实例的安全策略(我认为)。
IAM 角色将是更可取的方法。
【讨论】:
-
感谢约翰的快速回复。