Политика S3 Bucket не позволяет Athena выполнять запрос

Question

Я выполняю запросы Amazon Athena на корзине S3.Давайте назовем это athena-bucket.Сегодня я получил требование ограничить этот сегмент по сравнению с VPC Enpoints.Итак, я попробовал эту политику S3 Bucket:

{
   "Version": "2012-10-17",
   "Statement": [

       {
           "Sid": "VPCe and SourceIP",
           "Effect": "Deny",
           "NotPrincipal": {
               "AWS": [
                   "arn:aws:iam::**********:user/user_admin",
                   "arn:aws:iam::**********:root",

               ]
           },
           "Action": "s3:*",
           "Resource": [
               "arn:aws:s3:::athena-bucket",
               "arn:aws:s3:::athena-bucket/abc/*"
           ],
           "Condition": {
               "StringNotEquals": {
                   "aws:sourceVpce": [
                       "vpce-XXXXxxxxe",
                       "vpce-xxxxxxxxxx",
                       "vpce-XXXXXXXXXXXXXX"
                   ]
               },
               "NotIpAddress": {
                   "aws:SourceIp": [
                       "publicip/32",
                       "publicip2/32"

                   ]
               }
           }
       }
   ]
}

Обратите внимание, что Афина имеет полное разрешение для доступа к вышеуказанному ведру.Я хочу использовать политику сегмента S3 для ограничения доступа только с определенных IP-адресов и конечной точки VPC.

Однако я получаю access denied error, хотя запрос направляется через конечные точки VPC, указанные в политике.

Answer 1

Amazon Athena - это интернет-сервис.Он получает доступ к Amazon S3 напрямую и не подключается через Amazon VPC.

Если вы ограничиваете доступ к корзине только через VPC Endpoint Amazon Athena не сможет получить к нему доступ.