Dustin 씨가 다양한 조건을 요구하기
위해 S3 버킷 정책에서 거부를
사용하는 방법을 보여 드립니다

dustin_deny_actions

특정 Amazon Virtual Private Cloud(VPC) 또는 특정 외부 IP 주소로부터의 트래픽을 제외하고 Amazon Simple Storage Service(Amazon S3) 버킷으로의 모든 트래픽을 차단하고 싶습니다. 어떻게 해야 합니까?

버킷 정책을 사용하여 S3 버킷에 액세스할 수 있는 VPC 또는 외부 IP 주소를 지정합니다. 조건을 사용하여 허용되는 VPC 또는 IP 주소를 지정하는 방법에 대한 자세한 내용은 Amazon S3의 VPC 엔드포인트에 대한 예제 버킷 정책특정 IP 주소 액세스 제한을 참조하십시오.

예를 들어 다음 버킷 정책은 지정된 VPC 엔드포인트(aws:SourceVpce) 또는 외부 IP 주소(aws:SourceIp)로부터의 요청이 아니면 버킷으로의 모든 트래픽을 차단합니다. 허용된 IP 주소 또는 VPC 엔드포인트 중 하나로부터의 요청만 버킷에 액세스할 수 있습니다. 이 정책을 aws:SourceVpce 조건과 함께 사용하려면 Amazon S3에 대한 VPC 엔드포인트가 있어야 합니다.

참고: 사용자가 VPC 엔드포인트 또는 IP 주소에서 버킷에 S3 작업을 수행할 수 있으려면 AWS Identity and Access Management(IAM) 정책에서 또는 버킷 정책의 다른 선언문에서 이러한 작업에 대한 권한을 부여해야 합니다.

{
    "Version": "2012-10-17",
    "Id": "VPCe and SourceIP",
    "Statement": [
        {
            "Sid": "VPCe and SourceIP",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucketname",
                "arn:aws:s3:::bucketname/*"
            ],
            "Condition": {
                "StringNotLike": {
                    "aws:sourceVpce": [
                        "vpce-1111111",
                        "vpce-2222222"
                    ]
                },
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "11.11.11.11/32",
                        "22.22.22.22/32"
                    ]
                }
            }
        }
    ]
}

페이지 내용이 도움이 되었습니까? | 아니요

AWS 지원 지식 센터로 돌아가기

도움이 필요하십니까? AWS 지원 센터를 방문하십시오.

게시 날짜: 2018년 7월 26일

업데이트 날짜: 2019년 2월 28일