我需要启动 S3 存储桶,以便我的 EC2 实例有权将图像文件存储到其中。 EC2 实例需要读/写权限。我不想公开 S3 存储桶,我只希望 EC2 实例能够访问它。
另一个问题是我的 EC2 实例由 OpsWorks 管理,我可以根据负载/使用情况启动不同的实例。如果我通过 IP 来限制它,我可能并不总是知道 EC2 实例拥有的 IP。可以通过VPC限制吗?
我是否必须为静态网站托管启用 S3 存储桶?
我是否需要将存储桶中的所有文件公开才能使其正常工作?
您不需要使存储桶公开可读,也不需要使文件公开可读。存储桶及其内容可以保密。
不要根据 IP 地址限制对存储桶的访问,而是根据 EC2 实例正在使用的 IAM 角色来限制它。
- 为您的 EC2 实例创建 IAM EC2 实例角色。
- 使用该角色运行您的 EC2 实例。
- 为该 IAM 角色提供访问 S3 存储桶的策略。
例如:
{
"Version": "2012-10-17",
"Statement":[{
"Effect": "Allow",
"Action": "s3:*",
"Resource": ["arn:aws:s3:::my_bucket",
"arn:aws:s3:::my_bucket/*"]
}
]
}
- 如果您想限制对存储桶本身的访问,请尝试 S3 存储桶策略。
例如:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::111122223333:role/my-ec2-role"]
},
"Action": "s3:*",
"Resource": ["arn:aws:s3:::my_bucket",
"arn:aws:s3:::my_bucket/*"]
}
]
}
附加信息:http://blogs.aws.amazon.com/security/post/TxPOJBY6FE360K/IAM-policies-and-Bucket-Policies-and-ACLs-Oh-My-Controlling-Access-to-S3-Resourcec http://blogs.aws.amazon.com/security/post/TxPOJBY6FE360K/IAM-policies-and-Bucket-Policies-and-ACLs-Oh-My-Controlling-Access-to-S3-Resourc
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)