限制S3存储桶对VPC的访问

Question

我正在尝试应用以下策略以限制my_bucket对特定VPC的访问。

1. 当我尝试将此应用为存储桶策略时，我得到的Policy has an invalid condition key - ec2:Vpc 。 我该如何纠正？

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Deny",
         "Principal": {
            "AWS": "*"
         },
         "Action":"*",
         "Resource":"arn:aws:s3:::my_bucket/*",
         "Condition":{
            "StringNotEquals":{
               "ec2:Vpc":"arn:aws:ec2:region:account:vpc/vpc-ccccccc"
            }
         }
      }
   ]
}

Answer 1

我刚刚开始工作了。 我不得不做两件事。 1）在S3存储桶上创建存储桶策略，2）创建“VPC端点”

我的S3存储桶策略看起来像这样（当然放入您的存储桶名称和VPC标识符）：

{
    "Version": "2012-10-17",
    "Id": "Policy1234567890123",
    "Statement": [
        {
            "Sid": "Stmt1234567890123",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::my_bucket/*",
            "Condition": {
                "StringEquals": {
                    "aws:sourceVpc": "vpc-12345678"
                }
            }
        }
    ]
}

S3存储桶还具有存储桶策略之外的一些权限，以允许从AWS控制台进行访问。 执行上述操作无法访问。 要获得访问权限，我还必须转到AWS控制台 - > VPC - >端点，然后创建端点。 我将新创建的端点附加到该帐户目前唯一的路由策略（所有子网都连接到它），并且我使用了默认策略

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

一旦我创建了端点，我就可以使用带有正确URL的wget从我的VPC中的任何EC2实例读取S3存储桶。 我仍然可以从AWS控制台访问存储桶。 但是如果我尝试从VPC外部访问URL，我会被禁止403。 因此，对S3存储桶的访问仅限于单个VPC，就像您要查找的那样。

这显然是一个新功能。 有关更多信息，请参阅此AWS博客条目 。

Answer 2

咬我的两件事可能有助于添加到Eddie的好答案：

首先， 除非您还授予AWS用户操作存储桶的权限，否则您将无法在S3 AWS控制台中查看存储桶（甚至在设置上述策略后修改其策略）。 要做到这一点，找到你的AWS帐号（显示在右上角点击这里 ），并添加此语句桶政策声明列表：

    {
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::YOUR_AWS_ACCOUNT_NUMBER:root"
        },
        "Action": "s3:*",
        "Resource": [
            "arn:aws:s3:::my_bucket",
            "arn:aws:s3:::my_bucket/*"
        ]
    },

其次，如果你有多个VPC，比如说vpc-XXXXXX和vpc-YYYYYY可以访问，那么Eddie的答案中的语句需要调整为类似下面的内容（注意“Allow”“StringEquals”和sourceVpc列表值：

... 
"Effect": "Allow",
...
"Condition": {
    "StringEquals": {
        "aws:sourceVpc": [
            "vpc-XXXXXXXX",
            "vpc-YYYYYYYY"
        ]
    }

Answer 3

不，你做不到。

这是另一个人问同样的问题： https ： //forums.aws.amazon.com/thread.jspa？threadID = 1022387

有些人试图通过网络解决问题而过于富有创意： https ： //pete.wtf/2012/05/01/how-to-setup-aws-s3-access-from-specific-ips/

我更喜欢一个更简单的路线，S3允许你签署网址来解决这个问题，但是在你的VPC中你可能不希望考虑签名 - 或者你只是无法签名，例如你可能正在使用wget所以我写这个小微服务就是出于这个原因： https ： //github.com/rmmeans/S3-Private-Downloader

希望有所帮助！

更新：

AWS现在具有VPC端点的功能： https ： //aws.amazon.com/blogs/aws/new-vpc-endpoint-for-amazon-s3/ ，您应该使用它，而不是我之前建议的那样。