Ограничьте доступ к экземпляру ec2 в корзине S3 с помощью тегов экземпляра ec2

Question

Я хочу разрешить доступ только определенным экземплярам EC2 к определенным сегментам S3 с помощью тегов экземпляров EC2 в политике сегментов S3.

Хотите установить время выполнения политики сегментов во время созданияс использованием подсолнечника.

Я пробовал это с условием sourceip в политике S3, но у меня не будет публичного IP-адреса исходного экземпляра EC2.

Answer 1

Это невозможно.

Когда выполняется вызов API для Amazon S3, информация о исходном компьютере не отправляется. Поэтому теги недоступны.

Вы можете ограничить доступ к конкретному экземпляру EC2, ограничив доступ к роли IAM , которая была назначена экземпляру (так что фактически она ограничивается ролью). , а не экземпляр), или вы можете использовать VPC Gateway и ограничить работу S3 только для работы через VPC-шлюз, плюс политику безопасности, которая ограничивает доступ к VPC-шлюзу только для экземпляра EC2 (я думаю,).

Роль IAM будет предпочтительным методом.