如何允许从特定 IP 访问 Amazon S3

Question

我正在尝试此策略以允许用户仅使用特定 IP (56.160.12.114) 来放置和列出对象访问权限，而其余所有用户都应该只有获取访问权限。但是这个政策对我不起作用：

{
    "Id": "S3PolicyId1",
    "Statement": [
        {
            "Sid": "IPDeny",
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::my-wicked-awesome-bucket/*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "56.160.12.114/28"
                }
            }
        }
    ]
}

Answer 1

此政策规定：拒绝任何未使用此 IP 地址范围的人访问

这很好，但您还需要一个允许 访问的策略，因为默认行为是拒绝。因此，您正在拒绝默认已经被拒绝的人。

更好的方法是：

• 默认拒绝访问（自动发生）
• 允许基于 IP 的访问

类似这样的：

{
    "Id": "S3PolicyId1",
    "Statement": [
        {
            "Sid": "IPAllow",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::my-wicked-awesome-bucket/*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "56.160.12.114/28"
                }
            }
        }
    ]
}

但是请注意，这是授予s3:* 访问来自该 IP 地址范围（包括连接到该网络范围的任何系统）的任何系统。确保你没问题。

更新：

如果您只想授予用户放置和列出对象的能力，请使用：

{
    "Id": "S3PolicyId1",
    "Statement": [
        {
            "Sid": "IPAllow",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::jstack-b",
                "arn:aws:s3:::jstack-b/*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "56.160.12.114/28"
                }
            }
        }
    ]
}