是否有任何方法可以根据客户端IP地址限制对存储在AmazonS3中的文件的访问?
我在那里存储了一个文件,应该只能通过特定的IP地址访问。如何做到这一点?
是的,尽管我自己没有使用过。
S3支持使用"访问策略语言"对存储桶和其中的对象进行细粒度控制。有特定的白名单和黑名单IP声明可用。然而,您必须编写APL声明并上传。
http://docs.amazonwebservices.com/AmazonS3/latest/dev/AccessPolicyLanguage.html
以下是两个条件部分示例:
白名单
"Condition" : {
"IpAddress" : {
"aws:SourceIp" : ["192.168.176.0/24","192.168.143.0/24"]
}
}
黑名单
"Condition" : {
"NotIpAddress" : {
"aws:SourceIp" : ["192.168.176.0/24","192.168.143.0/24"]
}
}
亚马逊在其S3文档中的"Bucket Policy Examples"(限制访问特定IP地址:)中对此进行了描述
此语句中的条件标识了允许的IP地址的54.240.143.*范围,但有一个例外:54.240.143.188。
{
"Version": "2012-10-17",
"Id": "S3PolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::examplebucket/*",
"Condition": {
"IpAddress": {"aws:SourceIp": ["54.240.143.0/24", "1.2.3.4/32" ]},
"NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"}
}
}
]
}
您可以在AWS S3控制台中添加类似的内容。选择您的bucket,单击Properties(属性)选项卡,然后单击Permissions(权限)。点击"添加桶策略"并将其粘贴到弹出对话框的表单中。
我修改了Amazon的例子,展示了如何通过提供JSON数组而不是字符串来将多个IP范围包括在策略中。"1.2.3.4/32"的"aws:SourceIp"条目意味着单个IP地址1.2.3.4也被授予访问权限。