Ограничьте мой доступ для чтения блока S3 к экземплярам EC2, выполненным другими?
Например, если я храню данные в американском Стандарте, S3, Оценивая Page указывает, что это - 0,00$ за ГБ, переданные Amazon EC2 в Северном регионе Вирджинии.
И это похоже, ДОБИРАЮТСЯ, запросы составляют 0,004$ на 10 000 запросов.
Так, это смотрит на меня как то, если бы я установил свои американские Стандартные правила региона S3 правильно, и мои клиенты настраивают свои экземпляры EC2 правильно в Северном регионе Вирджинии, то это стоило бы мне, ОБЩЕЕ КОЛИЧЕСТВО за 0,004$ для 10 000 ПОЛУЧАЕТ запросы.
(Вдобавок к моим затратам на хранение S3.)
Если мои клиенты хотят переместить данные из EC2, которые стоят, их, тарификация является их проблемой и т.д.
Так, какая комбинация политик Блока S3 и я - политики, или даже S3 ACLs прежней версии сделал бы это возможным на моем конце?
Верно.
Возьмите опубликованный список сетевых IP-блоков для us-east-1 (базовый регион стандарта США в S3) ...
https://forums.aws.amazon.com/ann.jspa?annID = 1701
... и используйте его для создания политики корзины, чтобы отклонять запрос, когда исходный IP-адрес не входит в диапазон, или разрешать только тогда, когда исходный IP-адрес находится в диапазоне (лучший выбор будет зависеть от других ваших политик, поскольку отказ всегда, всегда, всегда отменяет конфликтующее разрешение) ...
http://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies.html
... и у вас должно быть то, что вам нужно.
В качестве альтернативы, существует концепция корзины "запрашивающая сторона платит", в которой бремя расходов возлагается на запрашивающую сторону.
http://docs.aws.amazon.com/ AmazonS3 / latest / dev / RequesterPaysBuckets.html
Это будет означать, что вашим клиентам придется выполнять собственную аутентификацию с использованием своих собственных учетных данных AWS (которым вы можете разрешить доступ к своей корзине, индивидуально или глобально, в зависимости от вашей модели безопасности) .
Или, в зависимости от рассматриваемого контента, вы можете потребовать, чтобы клиент создал корзину в стандарте США (проверьте с помощью запроса /? location к корзине; отсутствие ограничений означает стандарт США), и вы можете передавать им контент за их счет.