我想限制对存储在Amazon S3存储桶中的对象的访问。
我想允许我们的LAN上的所有用户(他们可能没有亚马逊凭据,因为整个基础架构不在AWS上)。我已经看到了有关IP地址过滤和VPC端点的一些讨论。有人可以在这里帮我吗?我不确定是否可以使用VPC端点,因为我们LAN上的所有用户都不在Amazon VPC中。
这是可能的吗?
谢谢
您的公司LAN很可能使用静态IP地址。您可以根据IP地址创建S3策略以允许访问(或拒绝)。这是一篇很好的AWS文章:
限制对特定IP地址的访问
VPC端点是为VPC提供AWS服务连接性的(基本上是使用Amazon的私人Internet而不是公共Internet。VPC Endpoints不会帮助您进行公司连接(如果您使用Direct Connect)。
这是我要解决的方法,
配置
Configure Users from a corporate directory who use identity federation with SAML.
Create Groups
Apply Policies to Group
这将提供细粒度的控制和更少的维护开销。这不仅可以帮助您控制S3,还可以帮助您迁移到AWS和这些资源的许可。
基于IP的过滤容易面临安全风险,从长远来看不可扩展。
。编辑:
添加更多文档来完成上述内容,
将ADF与AWS IAM集成:
https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-adfs-andfs-and-saml-2-2-0/
IAM组:
http://docs.aws.amazon.com/iam/latest/userguide/id_groups_create.html