Amazon-Web-Services

使用 SourceIP 的 AWS 儲存桶策略

  • July 3, 2019

我想允許所有使用公司 IP 地址的使用者訪問 S3 儲存桶。我添加了一個儲存桶策略,但我仍然被拒絕訪問。這可能是因為我的 sourceIp 在公司路由器後面嗎?

   {
   "Version": "2012-10-17",
   "Id": "S3PolicyId1",
   "Statement": [
       {
           "Sid": "IPAllow",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:*",
           "Resource": "arn:aws:s3:::examplebucket/*",
           "Condition": {
               "IpAddress": {
                   "aws:SourceIp": "165.70.20.0/22"
               }
           }
       }
   ]
}

您應該使用諸如What’s My IP 之類的網站來確定您的公共 IP 地址。一旦您確定了這一點並將其放入您的政策中,事情就應該開始與您現有的政策一起使用。

如果您的公司路由器使用 NAT,則 S3 將僅在路由器上看到您的外部 IP 地址的重新映射 IP。如果您只想訪問您的內部公司網路,最好創建一個到 VPC 的 VPN,然後創建一個只能由 VPC 訪問的端點: https ://docs.aws.amazon.com/vpc/latest/userguide /vpc-endpoints-s3.html

引用自:https://serverfault.com/questions/973753