Как получить доступ к ресурсам AWS без использования роли IAM или доступа пользователей IAM

Question

Предположим, у нас есть экземпляр Ec2 и есть два приложения.только одно приложение должно иметь доступ к корзине S3, а другое приложение не должно иметь доступ к корзине S3.

1) Я не хочудля этой проблемы используйте идентификатор ключа доступа пользователя IAM и секретный ключ доступа, поскольку им сложно управлять.Это не рекомендуется.(https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)

2) Но я не могу использовать роль IAM.Потому что он связан с экземпляром Ec2 и позволит получить доступ ко всем приложениям внутри этого Ec2.

Answer 1

Вы можете применить политику сегмента для ограничения доступа к тому же запросу HTTP-заголовка.разрешает s3: GetObject разрешение с условием, используя ключ aws: referer, что запрос get должен исходить от определенных веб-страниц.Следующая политика задает условие StringLike с помощью aws: ключ условия Referer.

"Version": "2012-10-17",
"Id": "http referer policy example",
"Statement": [
{
"Sid": "Allow get requests referred by www.example.com and example.com.",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::examplebucket/*",
"Condition": {
"StringLike": {"aws:Referer": ["http://www.example.com/*","http://example.com/*"]}
}
},
{
"Sid": "Explicit deny to ensure requests are allowed only from specific referer.",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::examplebucket/*",
"Condition": {
"StringNotLike": {"aws:Referer": ["http://www.example.com/*","http://example.com/*"]}
}
}
]
}

Ссылочная ссылка AWS