【问题标题】:Policy to block s3 upload based on ec2 instance tag基于 ec2 实例标签阻止 s3 上传的策略
【发布时间】:2016-11-10 16:22:54
【问题描述】:

有没有办法使用 ec2 实例标签在 s3 存储桶中应用限制。

我们有几个 ec2 实例。但是我们希望允许从具有特定标签的 ec2 实例上传到 s3。

【问题讨论】:

  • 显示一些你尝试过的代码。
  • 据我所知,您不能对 s3 存储桶使用 ec2:ResourceTag 条件...您可以使用带有 aws:SourceIp 条件的策略
  • 您能否详细说明为什么您希望完成此操作?可能还有其他方法可以实现您的目标。
  • 这就像我拥有具有 IAM 角色的现有 ec2 实例,例如仅具有 PutObject 访问权限。现在我和我的朋友将使用其中一些实例,他不应该访问我的存储桶,而我不应该访问他的存储桶。因为我不是从头开始创建 ec2,所以我必须使用具有相同 IAM 角色的实例。但除此之外,我想像我已经说过的那样设置一个限制。并考虑我们在 AWS 中没有用户帐户。

标签: amazon-web-services amazon-s3 amazon-ec2 amazon-iam


【解决方案1】:

不,不可能编写将上传到 Amazon S3 的策略限制为仅来自具有特定标签的 Amazon EC2 实例。

原因是对 Amazon S3 的请求来自访问密钥标识的用户或角色。 Amazon S3 将针对该用户或角色检查权限。它无法检查“发送”它的 Amazon EC2 实例的详细信息。

一种选择是为这些 Amazon EC2 实例分配一个包含 Amazon S3 权限的特定角色,而其他实例具有不同的角色。

【讨论】:

  • 实际上我们已经在附加的 IAM 角色中有一些带有 putObject 策略的 ec2 实例。后来我们创建了 s3 存储桶。现在,如果可能,我们必须根据标记或任何其他方式限制 s3 上传。这样一些实例可以访问特定的 s3 存储桶,而其他一些实例可以访问其他存储桶,等等。
猜你喜欢
  • 2021-06-30
  • 1970-01-01
  • 1970-01-01
  • 2021-04-16
  • 1970-01-01
  • 2020-07-03
  • 2013-09-16
  • 2022-10-14
  • 1970-01-01
相关资源
最近更新 更多