我想允许所有使用公司 IP 地址的用户访问 S3 存储桶。我添加了存储桶策略,但仍然被拒绝访问。这可能是因为我的 sourceIp 位于公司路由器后面吗?
{
"Version": "2012-10-17",
"Id": "S3PolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::examplebucket/*",
"Condition": {
"IpAddress": {
"aws:SourceIp": "165.70.20.0/22"
}
}
}
]
}
答案1
你应该使用以下网站确定你的公共 IP 地址我的 IP 是什么。一旦您确定了这一点并将其纳入您的政策,一切就应该开始与您现有的政策一起发挥作用。
答案2
如果您的公司路由器使用 NAT,那么 S3 将只能看到路由器上外部 IP 地址的重新映射 IP。如果您只想访问内部公司网络,最好创建一个到 VPC 的 VPN,然后创建一个只能由 VPC 访问的端点: https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html