使用 SourceIP 的 AWS 存储桶策略

使用 SourceIP 的 AWS 存储桶策略

我想允许所有使用公司 IP 地址的用户访问 S3 存储桶。我添加了存储桶策略,但仍然被拒绝访问。这可能是因为我的 sourceIp 位于公司路由器后面吗?

    {
    "Version": "2012-10-17",
    "Id": "S3PolicyId1",
    "Statement": [
        {
            "Sid": "IPAllow",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::examplebucket/*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "165.70.20.0/22"
                }
            }
        }
    ]
}

答案1

你应该使用以下网站确定你的公共 IP 地址我的 IP 是什么。一旦您确定了这一点并将其纳入您的政策,一切就应该开始与您现有的政策一起发挥作用。

答案2

如果您的公司路由器使用 NAT,那么 S3 将只能看到路由器上外部 IP 地址的重新映射 IP。如果您只想访问内部公司网络,最好创建一个到 VPC 的 VPN,然后创建一个只能由 VPC 访问的端点: https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html

相关内容