AWS Разрешить трафик на EC2 только от S3

Question

У меня есть одно одностраничное приложение, размещенное в корзине S3. Он использует API приложения, расположенный в экземпляре EC2 за сетевым балансировщиком нагрузки. Из-за этих специфических ограничений балансировщика нагрузки я не могу использовать SG и контролировать поток трафика к экземпляру EC2. Идеальный сценарий должен быть:

1. S3 вызов NLB
2. API вызова NLB на EC2
3. Трафик к экземпляру EC2 ограничен только от NLB, все остальные заблокированы,

К сожалению, сейчас, чтобы поддерживать связь между S3 и EC2, мне нужно открыть определенный порт и разрешить трафик с 0.0.0.0/0, что является моим кошмаром. Может быть, кто-нибудь знает любое решение, которое было бы хорошо в моем случае. Может быть, есть какой-нибудь способ ограничить трафик от сервиса S3?

Answer 1

Amazon S3 - сервис хранения объектов. Если ваше приложение обслуживается S3, это означает, что S3 предоставляет HTML, CSS и JavaScript контент для браузеров ваших клиентов. JavaScript выполняется на стороне клиента, а не на S3. Поэтому невозможно ограничить доступ к EC2 API из S3.

Я бы предложил использовать Amazon Cognito для аутентификации ваших клиентов и ограничения доступа API для аутентифицированных клиентов.

Answer 2

Похоже, что группа безопасности в вашем экземпляре Amazon EC2 может быть настроена на прием трафика только от NLB.

С Регистрация целей в целевой группе - Балансировка эластичной нагрузки :

Балансировщики сетевой нагрузки не имеют связанных групп безопасности. Поэтому группы безопасности для ваших целей должны использовать IP-адреса, чтобы разрешить трафик от балансировщика нагрузки.

... вы можете предоставить доступ к частным IP-адресам, используемым узлами балансировки нагрузки. В подсети балансировки нагрузки используется один IP-адрес.

Однако любой может вызвать балансировщик сетевой нагрузки и, следовательно, получить доступ к экземплярам EC2.