如何设置S3存储桶只允许特定的私有IP地址访问？

1.    概述

在对于数据安全有严格要求的场景中，要确保S3桶的数据只能通过在企业内网的特定机器访问，避免数据外泄。

因为S3是一个公网服务，在企业内网访问S3一般有两种方法，一种是通过NAT等方式连接到Internet，然后访问S3，在这种方法下，S3的桶策略（BucketPolicy）可以限制源IP（Source IP）来限制来访者，但无法限制某一具体的内网机器；另外一种通过S3 Gateway Endpoint来访问S3，在这种方法下，S3的桶策略（BucketPolicy）可以限制源VPC终端节点（SourceVpce）来限制来访者，但同样无法做到限制某一具体的内网机器。

本文将通过S3 PrivateLink Endpoint来限制特定内网机器（IP）访问S3。下图是S3 PrivateLink Endpoint的工作示意图：

具体实现原理：通过S3桶策略来限制只能由S3的VPC终端节点访问该桶，然后在终端节点的安全组上限制只允许特定IP访问80/443端口。

下面来演示如何完成具体配置。

2.    创建安全组

在一VPC中创建一个专用安全组（Security Group），把允许访问S3的内网IP针对端口80/443打开。为提高安全，可以只打开443端口，这样客户端只能通过HTTPS来访问S3。如果是要允许EC2访问，建议选择EC2所在VPC；如果是要允许本地服务器，建议选择有专线或VPN相连的VPC。

3.    创建S3终端节点

在一VPC中创建S3 PrivateLink Endpoint。注意选择类型为Interface，而不是Gateway。

然后选择VPC和两个内部子网。

选择上面创建的安全组。

创建完之后，记录下DNS名称，后面它就用来组合成Endpoint URL来访问S3。

4.    设置S3桶策略

通过设置S3桶策略，可以限制只能通过上面创建的终端节点才可以访问该桶的数据。将下面策略中红色部分修改为实际S3桶的ARN和VPC终端节点。

{

  "Version": "2012-10-17",

  "Id":"Policy1415115909152",

  "Statement": [

    {

      "Sid":"Access-to-specific-VPCE-only",

      "Principal": "*",

      "Action": "s3:*",

      "Effect": "Deny",

      "Resource": ["arn:aws-cn:s3:::my_secure_bucket",

                   "arn:aws-cn:s3:::my_secure_bucket/*"],

      "Condition": {

        "StringNotEquals": {

          "aws:sourceVpce": "vpce-03827d26ad932"

        }

      }

    }

  ]

}

修改完成之后，在Console上会立刻无法访问该桶，这表明策略已经生效。

5.    测试访问

接下来我们可以在指定的内网机器上来访问S3桶。通过以下AWS CLI命令，把红色部分bucket-name替换为桶名，把vpce开头的部分替换为终端节点的DNS名称（去除*号）。请注意前面https://bucket部分不要修改。

aws s3 ls s3://bucket-name/--endpoint-url https://bucket.vpce-038d932-pnp5dg8c.s3.cn-north-1.vpce.amazonaws.com.cn

可以看到下图可以正常的列出S3桶的内容（已经配置好有足够权限访问的AKSK密钥）：

在另一机器上测试同样命令，该机器只允许了HTTP端口访问。我们可以看到当指定HTTPS协议时无法访问，指定HTTP协议时可以访问。

6.    结论

本文演示了通过S3 PrivateLink Endpoint来限定特定内网机器（IP）访问S3的方法，这些内网机器可以是EC2，也可以是本地机房的机器，只要它通过专线或者VPN与VPC联通即可。这样的方法可以最大程度的保证S3上的数据不会泄露。