Ковш для закалки S3

Question

Мы храним RPM, необходимые для нашего развертывания, в корзине S3, мы размещаем в ней репозиторий yum, чтобы упростить обновление RPMS.

В настоящее время наша корзина общедоступна через конечную точку S3 ( s3.amazon aws .com) и открыт для всего мира для доступа, поскольку в настоящее время мы не можем извлекать пакеты yum из частного репозитория S3.

Нам необходимо усилить безопасность корзины репо, чтобы включить доступ на основе аутентификации к S3 через конечную точку s3.amazon aws .com. Есть какие-нибудь предложения по этому поводу? Спасибо!

`{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow Access From QA, dev",
            "Effect": "Deny",
            "NotPrincipal": {
                "AWS": [
                     
                    "arn:aws:iam::XXXXXXX:root"
                ]
            },
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::test-repo",
                "arn:aws:s3:::test-repo/*"
            ],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "X.X.X.X/32"
                     ]
                },
                "StringNotEquals": {
                    "aws:sourceVpce": "vpce-xxxxxxx"
                }
            }
        }
    ]
}
`

Answer 1

Вместо того, чтобы пытаться специально добавить уровень аутентификации, обратите внимание на добавление конечной точки VP C к VP C (s), для которой вы хотите иметь доступ к своей корзине S3.

После того, как вы это сделаете (и добавите в таблицы маршрутов), вы можете обновить политику сегмента для своей корзины S3, чтобы добавить условие Запретить весь трафик c не из исходной точки VP C (aws:sourceVpce) .

Преимущество этого подхода в том, что вам не нужно будет вносить какие-либо изменения в сами серверы.

Дополнительная документация здесь .