amazon-web-services - S3 存储桶访问仅限于 VPN
问题描述
我为我的基础设施团队创建了某种私人文档,上传到 S3 Bucket 并希望将其设为私有,只能在我们的 VPN 上访问。
我试图允许这些 vpn ip 范围:173.12.0.0/16 和 173.11.0.0/16 但我不断收到 403 - 禁止(在 vpn 内)。
有人可以帮我调试或找到我搞砸的地方吗?
我的存储桶策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "vpnOnly",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::calian.io/*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"173.12.0.0/16",
"173.11.0.0/16"
]
}
}
}
]
}
解决方案
默认情况下,S3 请求通过 Internet 发送,因此请求“看起来”来自公共 IP 地址。
或者,您可以为 S3 添加一个 VPC 端点,这将使请求“来自”私有 IP 地址。
您也可以考虑使用Amazon S3 访问点来控制对存储桶的访问。
推荐阅读
- c# - 我如何测试数据交换格式以及我应该使用什么样的指标来评估它们?
- time-complexity - 旅行推销员中算法的时间复杂度?
- javascript - 根据角度计算边界框上的点
- html - 在一个类中选择一个类并使其有自己的行
- java - 使用 RxJava2 结合数据库和网络调用
- python - 如何通过在Python中将一个无理数除以另一个数字来获得一个非常长的十进制数字?
- c++ - tf.GraphDef.FromString 和 tf.GraphDef.ParseFromString 有什么区别?
- oop - Golang OOP 说明
- python - 将两个列表制作成字典错误:不可散列类型:'list'
- python - 在 python 中导入文件时出现 ModuleNotFoundError 错误