Amazon-Web-Services
使用 SourceIP 的 AWS 儲存桶策略
我想允許所有使用公司 IP 地址的使用者訪問 S3 儲存桶。我添加了一個儲存桶策略,但我仍然被拒絕訪問。這可能是因為我的 sourceIp 在公司路由器後面嗎?
{ "Version": "2012-10-17", "Id": "S3PolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Allow", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::examplebucket/*", "Condition": { "IpAddress": { "aws:SourceIp": "165.70.20.0/22" } } } ] }
您應該使用諸如What’s My IP 之類的網站來確定您的公共 IP 地址。一旦您確定了這一點並將其放入您的政策中,事情就應該開始與您現有的政策一起使用。
如果您的公司路由器使用 NAT,則 S3 將僅在路由器上看到您的外部 IP 地址的重新映射 IP。如果您只想訪問您的內部公司網路,最好創建一個到 VPC 的 VPN,然後創建一個只能由 VPC 訪問的端點: https ://docs.aws.amazon.com/vpc/latest/userguide /vpc-endpoints-s3.html