只能从我的 ElasticBeanStalk 实例访问 AWS S3 存储桶

Posted 2023-03-04

【中文标题】只能从我的 ElasticBeanStalk 实例访问 AWS S3 存储桶

【英文标题】：AWS S3 Bucket Accessible from my ElasticBeanStalk Instance only

【发布时间】：2015-08-30 07:32:40

【问题描述】：

我有 1 个 s3 存储桶，1 个 elasticbeanstalk 实例。目前我的 s3bucket 是公开的，因此可以从任何域访问它，甚至可以从我的本地主机访问。 我希望只有在我的 APP 托管/运行的地方才能从我的 EBS 实例访问我的所有 s3 存储桶资源。我的应用程序应该能够查看这些资源并将新图像/资源上传到此存储桶。 我敢肯定没有人这样做过。

【参考方案1】：

控制对 S3 的访问有多种方法。使某些内容可私有访问的最佳做法是：不在存储桶策略中授予访问您的 S3 存储桶/文件的任何权限。

但是，您应该创建一个 IAM 角色，该角色具有对 S3 的完全访问权限，或对某些操作、某些存储桶的有限访问权限。

对于每个 EC2 实例以及每个 Elastic Beanstalk 环境，您都可以附加一个 IAM 角色。此角色将通过实例元数据自动提供给您的实例。这是为您的实例授予特殊权限的安全方式。

（注意：这是 AWS 安全最佳实践，因为 AWS 将处理您的 EC2 机器上的密钥轮换。）

【讨论】：

我理解 IAM 的意义，但要通过 url 访问 S3 资源，例如>/my-images/imagefile.jpg ...来自我在 EBS 上托管的应用程序。可以像 www.xyz.com .. 现在在这个应用程序中我有 >/my-images/imagefile.jpg " /> .. 那么 IAM 的作用在哪里？在这里.. 还是我需要一些 CORS 设置？

问题是，你的问题问的是完全不同的事情。如果您使用 IMG 标记向用户发送 html，则该文件将由浏览器下载。如果它是直接 S3 链接，那么它将直接转到 S3，而不是通过您的实例。 （这就是使用 S3 的重点。）在 S3 上限制公共访问的最佳做法是签名 URL-s。这将为每个用户提供临时 URL。但是对大量文件使用签名的 URL-s 可能会花费您大量的金钱/资源。

嗨，Adam，您能否建议一个策略示例，其中只能从我部署在 EBS 上的应用访问存储桶图像。

@user3112954 您可以配置到 s3 存储桶和符号链接的驱动器映射。