Ich suche einen S3-Bucket aus Sicherheitsgründen - ich speichere Deployment-Images im Bucket.
Ich möchte eine Bucket-Richtlinie erstellen, die anonyme Downloads über http nur von EC2-Instanzen in meinem Konto unterstützt.
Gibt es eine Möglichkeit, dies zu tun?
Ein Beispiel für eine Richtlinie, die ich verwenden möchte (sie lässt sich nicht anwenden):
%Vor%Nur um zu verdeutlichen, wie das normalerweise gemacht wird. Sie erstellen eine IAM-Richtlinie, hängen sie an eine neue oder vorhandene Rolle an und dekorieren die ec2-Instanz mit der Rolle.
Details unten:
S3-Buckets sind Standard-Verweigerungen, außer für meinen Besitzer. Sie erstellen also Ihren Bucket und laden die Daten hoch. Sie können mit einem Browser überprüfen, dass auf die Dateien nicht zugegriffen werden kann, indem Sie Ссылка versuchen. Sollte mit dem Fehlercode "Zugriff verweigert" in der XML zurückgegeben werden. Wenn Sie einen Fehlercode von "NoSuchBucket" erhalten, haben Sie die URL falsch.
Erstellen Sie eine IAM-Richtlinie basierend auf arn: aws: iam :: aws: policy / AmazonS3ReadOnlyAccess. Fängt an, wie der Snip unten auszusehen. Sehen Sie sich die Taste "Ressource" an und beachten Sie, dass sie auf einen Platzhalter gesetzt ist. Sie ändern dies einfach als arn in Ihrem Bucket, also wird die Zeile ex: "Ressource": "arn: aws: s3 ::: MyBucketName / *"
Nun, da Sie eine Richtlinie haben, möchten Sie Ihre Instanzen mit einer IAM-Rolle dekorieren, die diese Richtlinie automatisch zuweist. Alle ohne Authentifizierungsschlüssel müssen in der Instanz sein. Gehen Sie zu Rolle, erstellen Sie eine neue Rolle, erstellen Sie eine Amazon EC2-Rolle, suchen Sie die soeben erstellte Richtlinie und Ihre Rolle ist bereit.
Schließlich erstellen Sie Ihre Instanz und fügen die gerade erstellte IAM-Rolle hinzu. Wenn die Maschine bereits eine eigene Rolle hat, müssen Sie nur die beiden Rollen in eine neue für die Maschine zusammenführen. Wenn der Computer bereits ausgeführt wird, erhält er die neue Rolle erst, wenn Sie ihn neu starten.
Jetzt solltest du gut gehen. Die Maschine hat die Berechtigung, auf die s3-Freigabe zuzugreifen. Jetzt können Sie den folgenden Befehl verwenden, um Dateien in Ihre Instanz zu kopieren. Beachten Sie, dass Sie die Region angeben müssen
aws s3 cp --region us-east-1 s3: //MyBucketName/MyFileName.tgz / home / ubuntu
Bitte beachten Sie, der Begriff "Sicherheit durch Dunkelheit" ist nur eine Sache in den Filmen. Entweder ist etwas nachweislich sicher, oder es ist unsicher.
Tags und Links amazon amazon-s3 amazon-web-services amazon-ec2