Ограничить доступ к корзине S3 по регионам AWS?

Question

У нас есть много просматриваемых в Интернете баз данных MySQL и файлов изображений (xx TB), которые необходимо распространять среди наших пользователей.Чтобы избежать ошеломляющих счетов за передачу данных, мы разрешаем доступ к загрузке наших данных только из одного региона.

Как мы можем обеспечить это в политике сегмента S3?Мы придумали что-то вроде этого:

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Same region access only",
         "Effect": "Allow",
         "Action": [
            "s3:GetBucketLocation",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::ourbucket"
         ],
         "Condition": {
            "IpAddress": {
                "aws:SourceIp": ["18.208.0.0/13", "52.95.245.0/24", "54.196.0.0/15", ... ]
            }
        }
      },
   ]
}

Отсюда и диапазоны IP-адресов: https://ip -ranges.amazonaws.com / ip-range.json

Однако существует слишком много диапазонов IP-адресов для любого конкретного региона AWS, поэтому добавить их в нашу политику сегментов является непростой задачей, которая уязвима для изменений, которые мы должны соблюдатьв будущем.

Есть ли лучший способ добиться этого, например, такой:

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Permissions to foreign account 1",
         "Effect": "Allow",
         "Action": [
            "s3:GetBucketLocation",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::ourbucket"
         ],
         "Condition": {
            "Source": {
                "aws:Region": ["us-east-1", "eu-central-1", ... ]
            }
        }
      },
   ]
}

Что было бы очень хорошо.Возможный?Или IP-диапазоны - единственный способ сделать это?

Answer 1

Хотя сегменты S3 зависят от региона, это влияет только на задержку при доступе к ним. По умолчанию при доступе из общедоступного Интернета исходящие передачи данных оцениваются одинаково независимо от исходного региона. Переводы между корзинами S3 также бесплатны.

Если вы включили такие функции, как CRR, за репликацию взимается отдельная плата, но опять же, вы не будете дополнительно платить за передачу в общедоступный Интернет.

Межрегиональные переводы взимаются при передаче данных из S3 в любую другую службу Amazon в другом регионе.

Все связанные данные и детали можно найти здесь .

Если вы считаете, что информация о ценах на приведенной выше странице недостаточно ясна, вам следует открыть службу поддержки в Amazon, и они смогут предоставить вам более подробный ответ.