限制对 S3 中对象的访问
Restrict access to objects in S3
我想限制对存储在 Amazon S3 存储桶中的对象的访问。
我想允许我们 LAN 上的所有用户(他们可能有也可能没有亚马逊凭证,因为整个基础设施不在 AWS 上)。我看到一些关于 IP 地址过滤和 VPC 端点的讨论。有人可以帮我吗?我不确定我是否可以使用 VPC 端点,因为我们局域网上的所有用户都不在 Amazon VPC 中。
这可能吗?
谢谢
这是我的解决方法,
配置
Configure Users from a corporate directory who use identity federation with SAML.
Create Groups
Apply Policies to Group
这将提供细粒度的控制和更少的维护开销。
这不仅可以帮助您控制 S3,还可以帮助您控制迁移到 AWS 的任何未来工作负载以及对这些资源的权限。
基于 IP 的过滤容易产生安全风险,长期 运行 维护成本高且不可扩展。
编辑:
添加更多文档以执行上述操作,
将 ADFS 与 AWS IAM 集成:
IAM 组:
http://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html
很可能您的公司 LAN 使用静态 IP 地址。您可以创建 S3 策略以允许(或拒绝)基于 IP 地址的访问。这是一篇很好的 AWS 文章:
Restricting Access to Specific IP Addresses
VPC 端点用于 VPC 到 AWS 服务的连接(基本上使用亚马逊的私有互联网而不是 public 互联网。VPC 端点不会帮助您进行公司连接(除非您使用的是直接连接)。
我想限制对存储在 Amazon S3 存储桶中的对象的访问。
我想允许我们 LAN 上的所有用户(他们可能有也可能没有亚马逊凭证,因为整个基础设施不在 AWS 上)。我看到一些关于 IP 地址过滤和 VPC 端点的讨论。有人可以帮我吗?我不确定我是否可以使用 VPC 端点,因为我们局域网上的所有用户都不在 Amazon VPC 中。
这可能吗?
谢谢
这是我的解决方法,
配置
Configure Users from a corporate directory who use identity federation with SAML.
Create Groups
Apply Policies to Group
这将提供细粒度的控制和更少的维护开销。 这不仅可以帮助您控制 S3,还可以帮助您控制迁移到 AWS 的任何未来工作负载以及对这些资源的权限。
基于 IP 的过滤容易产生安全风险,长期 运行 维护成本高且不可扩展。
编辑:
添加更多文档以执行上述操作,
将 ADFS 与 AWS IAM 集成:
IAM 组:
http://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html
很可能您的公司 LAN 使用静态 IP 地址。您可以创建 S3 策略以允许(或拒绝)基于 IP 地址的访问。这是一篇很好的 AWS 文章:
Restricting Access to Specific IP Addresses
VPC 端点用于 VPC 到 AWS 服务的连接(基本上使用亚马逊的私有互联网而不是 public 互联网。VPC 端点不会帮助您进行公司连接(除非您使用的是直接连接)。