在对于数据安全有严格要求的场景中,要确保S3桶的数据只能通过在企业内网的特定机器访问,避免数据外泄。
因为S3是一个公网服务,在企业内网访问S3一般有两种方法,一种是通过NAT等方式连接到Internet,然后访问S3,在这种方法下,S3的桶策略(BucketPolicy)可以限制源IP(Source IP)来限制来访者,但无法限制某一具体的内网机器;另外一种通过S3 Gateway Endpoint来访问S3,在这种方法下,S3的桶策略(BucketPolicy)可以限制源VPC终端节点(SourceVpce)来限制来访者,但同样无法做到限制某一具体的内网机器。
本文将通过S3 PrivateLink Endpoint来限制特定内网机器(IP)访问S3。下图是S3 PrivateLink Endpoint的工作示意图:
具体实现原理:通过S3桶策略来限制只能由S3的VPC终端节点访问该桶,然后在终端节点的安全组上限制只允许特定IP访问80/443端口。
下面来演示如何完成具体配置。
在一VPC中创建一个专用安全组(Security Group),把允许访问S3的内网IP针对端口80/443打开。为提高安全,可以只打开443端口,这样客户端只能通过HTTPS来访问S3。如果是要允许EC2访问,建议选择EC2所在VPC;如果是要允许本地服务器,建议选择有专线或VPN相连的VPC。
3. 创建S3终端节点
在一VPC中创建S3 PrivateLink Endpoint。注意选择类型为Interface,而不是Gateway。
然后选择VPC和两个内部子网。
选择上面创建的安全组。
创建完之后,记录下DNS名称,后面它就用来组合成Endpoint URL来访问S3。
4. 设置S3桶策略
通过设置S3桶策略,可以限制只能通过上面创建的终端节点才可以访问该桶的数据。将下面策略中红色部分修改为实际S3桶的ARN和VPC终端节点。
{
"Version": "2012-10-17",
"Id":"Policy1415115909152",
"Statement": [
{
"Sid":"Access-to-specific-VPCE-only",
"Principal": "*",
"Action": "s3:*",
"Effect": "Deny",
"Resource": ["arn:aws-cn:s3:::my_secure_bucket",
"arn:aws-cn:s3:::my_secure_bucket/*"],
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-03827d26ad932"
}
}
}
]
}
修改完成之后,在Console上会立刻无法访问该桶,这表明策略已经生效。
接下来我们可以在指定的内网机器上来访问S3桶。通过以下AWS CLI命令,把红色部分bucket-name替换为桶名,把vpce开头的部分替换为终端节点的DNS名称(去除*号)。请注意前面https://bucket部分不要修改。
aws s3 ls s3://bucket-name/--endpoint-url https://bucket.vpce-038d932-pnp5dg8c.s3.cn-north-1.vpce.amazonaws.com.cn
可以看到下图可以正常的列出S3桶的内容(已经配置好有足够权限访问的AKSK密钥):
在另一机器上测试同样命令,该机器只允许了HTTP端口访问。我们可以看到当指定HTTPS协议时无法访问,指定HTTP协议时可以访问。
本文演示了通过S3 PrivateLink Endpoint来限定特定内网机器(IP)访问S3的方法,这些内网机器可以是EC2,也可以是本地机房的机器,只要它通过专线或者VPN与VPC联通即可。这样的方法可以最大程度的保证S3上的数据不会泄露。
