特定 IP 访问我的 S3 存储桶，一招就够了

AWS Azure技术分享 2020-07-29

1410

很多时候，我们通常为了测试方便，会把S3存储桶进行公开化，方便分享和共享文件给其他人，在方便的同时，也带来了很多安全的隐患，本文我们主要介绍如何限制特定的IP地址对于S3的访问控制。

场景描述

某些 AWS北京区域 IP 地址请求访问我的Amazon S3存储桶，我想允许其访问。如何查找应向其授予访问权限的 AWS IP 地址？如何向这些 IP 地址授予访问权限？

查找AWS IP地址

1. 登陆一台Linux主机，执行如下命令下载AWS全球IP地址段信息：

# wget https://ip-ranges.amazonaws.com/ip-ranges.json

2. 为了方便查询AWS北京区域所有网段信息，可以执行如下命令：

jq -r '.prefixes[] | select(.region=="cn-north-1") | select(.service=="EC2") | .ip_prefix' < ip-ranges.json复制

该命令会返回类似以下内容的响应：

设置Bucket Policy

当请求来自这些 AWS IP 地址时，该条件元素向其授予访问权限。以下存储桶策略允许在 demo-s3-bucket-ip上执行所有 Amazon S3 操作：

{
"Version": "2012-10-17",
"Id": "S3PolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws-cn:s3:::demo-s3-bucket-ip/*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"52.80.0.0/16",

"140.179.0.0/16",

"54.223.0.0/16",

"54.222.32.0/22",

"52.81.0.0/16",

"54.222.52.0/22",

"54.222.128.0/17",

"54.222.59.0/24",

"54.222.64.0/23",

"54.222.36.0/22",

"52.95.255.144/28",

"54.222.58.32/28"

]
}
}
}
]
}