【发布时间】:2020-08-27 05:42:11
【问题描述】:
我阻止了对我的 s3 存储桶的公开访问,但我想允许使用 bigquery 传输服务的 bigquery 连接。
我看到了使用 IP 地址拒绝访问的选项,但是由于 google 没有公共 IP 地址,我不知道如何解决这个问题。 有什么经验吗?
谢谢
【问题讨论】:
标签: amazon-s3 google-bigquery amazon-iam aws-security-group
【发布时间】:2020-08-27 05:42:11
【问题描述】:
您无需根据 IP 地址拒绝访问。创建 IAM 用户、附加 S3ReadOnly 策略、生成访问密钥并让 bigquery 使用访问密钥从 S3 获取数据要容易得多。基于 IAM 限制访问优于 IP 地址方式。
【讨论】:
-
目前,我的 iam 用户使用策略 s3 只读,但是,还有其他限制或策略不允许访问我们的网络之外。这就是为什么我需要知道是否可以使用 sourceURL 或 sourceDomain 将 bigquery 列入白名单,因为我没有关于 google 的 IP 地址范围的信息。
-
@Justin 您所说的“不允许在我们网络之外访问的附加限制或政策”是什么意思?这是存储桶策略的一部分吗?还是它是 IAM 用户的一部分?这个限制在哪里定义?
-
这是一个附加到 IAM 用户的策略,作为安全措施的一部分,不允许在我们的网络之外进行任何访问。
您可以使用存储桶策略来提供访问权限。参考这篇文章-https://medium.com/@Keithweaver_/only-allowing-access-to-your-s3-bucket-via-your-website-5ca5c8546152
希望对你有帮助。
【讨论】: