S3 정책설정으로 특정 VPC 엔드포인트, 특정 IP 등으로 제어 할 수있다

 

1. 특정 VPC 엔드포인트에 대해서만 S3 버킷 접근 허용

  • 기본적으로 Deny 정책을 지니며, Condition 에 해당하는 SourceVpce 에 대해서만 허용하는 규칙
{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::awsexamplebucket1",
                    "arn:aws:s3:::awsexamplebucket1/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpce": "vpce-1a2b3c4d"
         }
       }
     }
   ]
}

2. 특정 IP에 대해서만 S3 버킷 접근 허용

  • 기본적으로 Deny 정책을 지니며, Condition에 해당하는 SourceIP에 대해서만 허용하는 규칙
  • 주의 : SourceIP는 공인 IP만 지정할 수 있음
  • 참고 : 사설IP에 대한 IP 지정은 aws:VpcSourceIp 조건으로 사용 가능
{
    "Version": "2012-10-17",
    "Id": "S3PolicyId1",
    "Statement": [
        {
            "Sid": "IPAllow",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "192.0.2.0/24"
                }
            }
        }
    ]
}

3. 특정 VPC 에서만 S3 버킷 접근 허용

  • 기본적으로 Deny 정책을 지니며, Condition에 해당하는 SourveVpc에 대해서만 허용하는 규칙
{
   "Version": "2012-10-17",
   "Id": "Policy1415115909153",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPC-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::awsexamplebucket1",
                    "arn:aws:s3:::awsexamplebucket1/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpc": "vpc-111bbb22"
         }
       }
     }
   ]
}

 

https://docs.aws.amazon.com/ko_kr/AmazonS3/latest/userguide/add-bucket-policy.html

 

Amazon S3 콘솔을 사용하여 버킷 정책 추가 - Amazon Simple Storage Service

편의를 위해 버킷 정책 편집 페이지의 정책 텍스트 필드 위에 현재 버킷의 버킷 ARN(Amazon 리소스 이름)이 표시됩니다. AWS 정책 생성기 페이지의 명령문에 사용하기 위해 이 ARN을 복사할 수 있습니

docs.aws.amazon.com

https://docs.aws.amazon.com/ko_kr/AmazonS3/latest/userguide/amazon-s3-condition-keys.html

 

Amazon S3 조건 키 - Amazon Simple Storage Service

모든 조건이 전체 작업에 적용되는 것은 아닙니다. 예를 들어 s3:CreateBucket Amazon S3 권한을 부여하는 정책에는 s3:LocationConstraint 조건을 포함하는 것이 가능합니다. 그러나 s3:GetObject 권한을 부여하

docs.aws.amazon.com

 

'AWS' 카테고리의 다른 글

AWS Gateway Endpoint  (0) 2023.07.21
AWS 특정 트래픽 헬스체크 알람생성 방법  (0) 2023.07.16
AWS EC2 Instance Metadata(IMDS)  (0) 2023.07.10
AWS EKS SVC 로 NLB 사용 시 Time out 발생 현상  (1) 2023.07.09
EKS Config Update  (0) 2023.07.08

+ Recent posts

티스토리툴바