AWS S3 Seau d'Accès depuis EC2

J'ai besoin de tirer jusqu'à un compartiment S3 donc mon instances EC2 avoir accès à stocker des fichiers image. Les instances EC2 besoin d'autorisations de lecture/écriture. Je ne veux pas faire le compartiment S3 publiquement disponible, je veux seulement les instances EC2 pour y avoir accès.

L'autre, gotcha est mon instances EC2 sont gérés par OpsWorks et je peux avoir différentes instances être fired up en fonction de la charge/utilisation. Si j'avais à le restreindre par IP, je ne peut pas toujours savoir l'IP que les instances EC2 ont. Puis-je restreindre par VPC?

Dois-je faire mon S3 seau activé pour l'hébergement de site statique?
Dois-je faire de tous les fichiers dans le seau public pour que cela fonctionne?

OriginalL'auteur hiddenicon | 2015-12-03

8

Vous n'avez pas besoin de faire le seau public lisible, ni les fichiers public lisible. Le seau et son contenu peut être privé.

Ne pas restreindre l'accès au compartiment basé sur l'adresse IP, au lieu de le restreindre basé sur l'IAM rôle de l'instance EC2.
1. Créer un IAM Instance EC2 rôle pour vos instances EC2.
2. Exécuter vos instances EC2, à l'aide de ce rôle.
3. Donner ce rôle IAM une politique pour accéder au compartiment S3.
Par exemple:
```
{
  "Version": "2012-10-17",
  "Statement":[{
    "Effect": "Allow",
    "Action": "s3:*",
    "Resource": ["arn:aws:s3:::my_bucket",
                 "arn:aws:s3:::my_bucket/*"]
    }
  ]
} 
```
1. Si vous souhaitez restreindre l'accès au compartiment lui-même, essayez un compartiment S3 politique.
Par exemple:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": ["arn:aws:iam::111122223333:role/my-ec2-role"]
      },
      "Action": "s3:*",
      "Resource": ["arn:aws:s3:::my_bucket",
                   "arn:aws:s3:::my_bucket/*"]
    }
  ]
}
```
Informations supplémentaires: http://blogs.aws.amazon.com/security/post/TxPOJBY6FE360K/IAM-policies-and-Bucket-Policies-and-ACLs-Oh-My-Controlling-Access-to-S3-Resourc

J'ai essayé de limiter par VPC et je me suis complètement bloqué le compartiment S3. J'ai dû créer des touches d'accès sur mon compte root et utiliser AWS CLI outils pour supprimer le seau de la politique. Puis-je ajouter une deuxième méthode d'accès? Donc, je peux toujours accéder au compartiment à partir d'une adresse IP publique?
Un problème que j'ai c'est que je suis en train de faire un reverse proxy Apache pour accéder à des images sur le compartiment S3 comme ci-dessous. De sorte qu'il faudrait être à disposition du public via le protocole https. La directive proxyrequests Off <Proxy *> Order deny,allow Allow from all </Proxy> ProxyPass /images/ images.s3-website-us-east-1.amazonaws.com

OriginalL'auteur Matt Houser
1

Rôle IAM est la solution pour vous.

Vous avez besoin de créer un rôle avec s3 autorisation d'accès, si l'instance ec2 a commencé sans aucun rôle, vous devrez re-construire avec le rôle assigné.

Consulter: Permettant AWS OpsWorks à Agir en Votre Nom

Je suis avec OpsWorks pour construire mon cas. Vous ne savez pas ce rôle IAM est utilisé pour ces versions. Je vais vérifier.
Oui, vous pouvez ajouter un rôle à OpsWorks.
Quand vous dites 'reconstruire' que voulez-vous dire? Redémarrer? Ou de construire une image de marque nouvelle instance avec les mêmes paramètres?
vous avez besoin de mettre fin à l'instance en cours d'exécution et en créer un nouveau.
pourquoi devez-vous faire pour mettre fin à l'instance ec2 et fixez le rôle ? vous n'avez pas besoin d'. vous pouvez simplement attacher le rôle à la volée pour un ec2

OriginalL'auteur BMW

Vous devez vous connecter pour publier un commentaire.