如何对存储在 Amazon S3 上的数据实施基于 IP 的导出限制?

如何对存储在 Amazon S3 上的数据实施基于 IP 的导出限制?

背景介绍:公司希望我们的下载无法提供给美国出口受限的国家,如朝鲜、伊朗、叙利亚等。IP 封锁限制被认为已经足够了。(是的,我知道得更多,但这是 CYA 的西装问题)

有没有办法在 S3 上实现基于 IP 的 ACL,而不必在路径中放置我自己的服务器?

与此相关的是,这似乎是一个常见的要求 - 是否有一个我可以纳入的标准 IP 块黑名单?

答案1

解决此问题的一种方法是编写存储桶策略来阻止您感兴趣的 IP 地址范围。(可以在整个互联网上找到按国家/地区列出的 IP 地址列表;询问 Google。)

另一种方法是将整个存储桶设为私有,然后生成预签名 URL对于用户来说,在他们同意某些点击协议后,他们不会导出到$COUNTRY等。这可能足够合理(很多组织都这样做)并且 URL 是有时限的,因此它们不能轻易共享。

相关内容