在我的公司中,我們有多個 S3 存盤桶,我們希望對它們強制執行僅 HTTPS 流量。這些存盤桶已啟動并正在運行,即 lambda 函式和外部集成(例如安全監控系統)始終將物件寫入其中或從中獲取物件。
我計劃執行以下 ACL 策略:
{
"Version": "2012-10-17",
"Id": "Enforce HTTPS",
"Statement": [
{
"Sid": "HTTPSOnly",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::mybucket",
"arn:aws:s3:::mybucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
在實施 ACL 策略后,我應該采取哪些步驟來確保 lambda 函式和外部集成仍然能夠從存盤桶中寫入/讀取?
先感謝您
uj5u.com熱心網友回復:
您從 Lambda 函式和 AWS CLI 執行的 S3 操作默認使用 TLS。您需要檢查使用 S3 的任何外部集成使用 SSL 或以托管方式執行 S3 操作。如果是這樣的話,我會說沒問題。
需要注意的一件小事。最后添加的條件非常重要:)。我錯誤地在合并程序中錯過了條件部分。這增加了一個明確的拒絕,拒絕了所有的 S3 請求。root 用戶只能幫助再次更新策略。
另一件要注意的事情是,如果您有一個單獨的服務負責部署此更改,則您需要允許該服務的角色執行s3:PutBucketPolicy操作,以便在此之后可以修改存盤桶策略。
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/361057.html
標籤:亚马逊网络服务 ssl 亚马逊-s3 https 亚马逊-acl