Как ограничить исходящий EC2 только доступом S3?
Я хочу ограничить исходящую группу безопасности в экземпляре EC2. Экземпляр только должен получить доступ к блоку S3. Я просто узнал, что S3 использует порт HTTPS (443). Я мог просто поместить то правило на месте для разрешения какого-либо соединения с каким-либо IP, пока это - HTTPS, но действительно ли возможно просто позволить экземпляру EC2 получать доступ к S3? Действительно ли там кто-либо - IP, подключенный к блоку S3, или я могу установить тот?
можно ли просто разрешить экземпляру EC2 доступ к S3? Есть ли какой-либо IP-адрес, подключенный к ведру S3, или я могу его установить?
S3 использует много IP-адресов. Подозреваю, что составить их всех будет сложно. Кроме того, отсутствует сопоставление IP-адресов и корзин, и вы не можете указать IP-адрес для корзины. S3 - это управляемая служба , которую запускает AWS, и они имеют единственный полный контроль над использованием своего IP-адреса для службы.
Если вам нужно фильтровать на этом уровне, проще всего использовать прокси-сервер прямого доступа (например, squid) с запрещающим ACL по умолчанию, разрешающий доступ только к домену S3.
AWS предоставляет список своих общедоступных IP-адресов через JSON. (возможно, и другие форматы, но я не уверен.) Создание инструмента для обеспечения анализа JSON и применения правильных правил брандмауэра должно быть относительно простым. Дополнительную информацию см. В следующей статье блога. :)
Здесь можно использовать конечные точки VPC.
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html
"Оконечная станция VPC позволяет создать частное соединение между VPC и другой службой AWS без необходимости доступа через Интернет, через экземпляр NAT, VPN соединение или AWS Direct Connect. Конечные точки являются виртуальными устройствами. Они являются горизонтально масштабированными, избыточными и высокодоступными компонентами VPC, которые обеспечивают связь между экземплярами услуг VPC и AWS без риска доступности или ограничений полосы пропускания для сетевого трафика"
.На основе этого ответа диапазоны IP-адресов AWS доступны в формате JSON здесь ( https://ip-ranges.amazonaws.com/ip-ranges. json ) теперь указывает, какие службы доступны из каких диапазонов IP-адресов (S3 имеет 136 записей на момент написания этой статьи).
Следовательно, если у вас есть группа безопасности с этими записями, вы можете внести S3 в белый список как службу. Список изменится и может включать другие сервисы AWS, но это только начало.
ИСПОЛЬЗУЙТЕ НИЖЕ CURL CALL & REPLACE REGION завиток https:ip-ranges.amazonaws.com/ip-ranges.json| jq -r '.префиксы[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix'