通过 VPN 的 Amazon S3

发布于 2024-08-12 08:00:30 字数 52 浏览 7 评论 0原文

是否可以在不使用弹性云 EC2 的情况下直接建立与 Amazon S3 的 VPN 连接？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

怼怹恏 2024-08-19 08:00:30

由于 S3 存储桶名称是全局唯一的，并且可以使用唯一的 url 通过 http 进行访问，因此无法在网络级别隔离 S3，并且需要使用存储桶策略、IAM 策略或访问控制列表进行访问控制。您还可以使用存储桶策略将可以访问您的存储桶的源 Ip 列入白名单。

{
  "Version": "2012-10-17",
  "Id": "S3PolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::examplebucket/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
         "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} 
      } 
    } 
  ]
}

S3 中提供的访问控制系统可增强访问 S3 时的安全性。此外，传输中的数据使用 https 进行加密，您还可以选择对驻留在 S3 中的对象利用静态加密来进一步强化安全性。

此外，还有多种方法可以根据 S3 访问客户端位置（例如本地、VPC 私有/公共子网等）的出口限制来建立与 S3 的连接。

如果没有出口限制，则通过互联网访问 S3。
如果您要访问，请使用 VPC 终端节点到 S3来自 AWS VPC 的 S3。
从本地到 AWS 数据中心的 Direct Connect 连接，通过专用的专用网络连接访问 S3。

遗憾的是，由于 S3 不提供网络分段功能，因此无法使用与 S3 的 VPN 连接，从而限制了网络级别的访问。

Since S3 bucket names are globally unique and accessible over http using a unique url, it is not possible to isolate S3 at network level and it requires access control using Bucket Policies, IAM policies or Access control lists. You can also use Bucket Policies to whitelist Source Ip's that could access your buckets.

{
  "Version": "2012-10-17",
  "Id": "S3PolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::examplebucket/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
         "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} 
      } 
    } 
  ]
}

The Access Control system available in S3, enforces security in accessing S3. In addition the data in transit is encrypted using https and optionally you can also leverage encryption at rest for objects residing in S3 to further harden the security.

In addition there are multiple ways to establish connections to S3 based on the egress restrictions at the S3 access client locations (e.g. On-premise, VPC private/public subnet & etc.).

Accessing S3 over the internet if there are no egress restrictions.
Use VPC Endpoints to S3 if you are accessing S3 from a AWS VPC.
Direct Connect Connection from On Premise to AWS Data centers to access S3 over a dedicated, private network connection.

Unfortunately since S3 is not providing a feature for network segmentation, it is not possible to use a VPN connection to S3, restricting access at Network Level.

回复收藏 0 原文