如何使用虚拟专用网络限制对S3托管网站的访问

Question

我有一个简单的网站托管在aws s3上。目前，任何人都可以访问它。

但我需要限制访问权限。

因此，我使用10.3.0.0/22的CIDR块设置了aws client vpn endpoint

因此，是否有可能只将访问权限授予仅连接到VPN的任何人，并限制其他任何访问权限。

Answer 1

我们可以将S3访问限制在特定ip范围内。Here就是一些例子。

仅当sourceIp属于10.3.0.0/22时，才允许对S3的请求

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PublicReadForGetBucketObjects",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::my-s3-static-assets-bucket/*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "10.3.0.0/22"
                    ]
                }
            }
        }
    ]
}