47-配置VPC终端节点策略

Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》,今天的课时将进行实操演示,配置一个VPC终端节点策略,通过VPC终端节点策略,控制从终端节点对指定服务进行的访问。

我们开始今天的课程内容。

终端节点策略:仅允许访问指定存储桶的策略的实例

我们先看一个终端节点策略的示例:
这是一个通过配置终端节点策略,限制所有人仅可访问这个特定的存储桶,除了这个指定的存储桶,其他的存储桶不允许被访问,且只可执行S3的Get和PutObject操作,。

这个场景在组织的实际环境中还是比较常见的 ,如组织可能在同一AWS区域中有很多S3存储桶,负责存储不同业务的重要日志或者数据,但只希望将某业务通过终端节点的访问 限制在对应该业务的存储桶上,不允许访问其他存储桶,这种场景就可以在对应终端节点上通过这个示例的策略内容进行访问控制。

我们这节课的实操演示,就演示这个:通过终端节点访问S3,使用终端节点策略做访问限制,仅允许访问策略中指定S3存储桶,仅可执行允许的动作。

实操演示:终端节点策略

我现在已经创建好了一个用于访问S3的网关终端节点,通过“策略”部分,可以查看这个终端节点当前的策略内容,目前策略是默认的允许所有访问。这就是说,如果我们的一个EC2实例,使用这个网关终端节点访问S3,如果EC2上的IAM角色或S3存储桶策略允许访问存储桶,那么正常情况下策略项是没有问题的,因为目前终端节点的策略是放行所有对于S3的访问。

我们现在就来确认下是不是这样,先切换到S3控制台,可以看到目前在测试的EC2所在的东京区域,一共有两个存储桶,名为endpoints-test001和endpoints-test002。

然后切换到测试的EC2上,我们演示的环境是通过这台EC2,使用刚才的那个终端节点访问S3存储桶。

这台EC2我给其配置了允许访问S3相应IAM权限,IAM策略方面对访问S3没做任何的限制,而当前的终端节点策略我们刚才看到了也是允许所有访问的,所以这台EC2目前应该可以正常访问S3存储桶。

我们现在测试下访问这两个存储桶:
aws s3 ls s3://endpoints-test001
aws s3 ls s3://endpoints-test002
好,可以看到目前可以正常访问这两个存储桶并列出2个存储桶内的对象。

接下来我们就演示,配置一个终端节点策略,通过策略限制只能对策略中指定存储桶进行访问。

需要说明一点,在您自行做实验的时候,要确保EC2上的IAM角色以及存储桶策略都是允许访问S3。

好,我们切换到VPC终端节点,然后通过“策略”,点击编辑策略,选择“自定义”,然后就可以在下方空白处写入终端节点策略。

我已经准备好了策略的内容,我们来看一下:

{
  "Statement": [
    {
      "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:List*"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::endpoints-test001",
                   "arn:aws:s3:::endpoints-test001/*"]
    }
  ]
}       

这是一个简单的终端节点策略,仅允许通过终端节点访问指定的这个存储桶以及执行允许的动作。

对应我们的演示,在终端节点配置这个策略之后,EC2通过终端节点访问S3存储桶,只能够访问endpoints-test001这个指定的存储桶,其他的存储桶如对应前面的endpoints-test002 将无法访问,且只能执行S3的这三个指定的Get PutObjetc及List动作。

我们现在把这个策略复制粘贴到终端节点的策略部分,那么如果一切正常情况下,在策略保存后,我们测试的EC2应该只能够访问endpoints-test001存储桶;之前同样可以访问的test002存储桶,在策略保存后将会无法访问。

点击“保存”,然后我们切换到EC2上测试下是不是这样。

切换到我们之前的EC2上,我们快速验证下终端节点策略是否有效:

我们先输入命令列出test001存储桶的内容:
aws s3 ls s3://endpoints-test001
好,可以正常访问endpoints-test001存储桶。

那我们继续访问下endpoints-test002存储桶:
aws s3 ls s3://endpoints-test002
无法访问提示访问被拒绝,因为在终端节点策略中,只允许通过终端节点访问test001这个指定存储桶,其他存储桶将不允许访问,我们的实操演示成功。

好的,以上我们实操演示了使用终端节点策略,限制通过终端节点访问服务的内容,希望能够给大家带来帮助。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助,如您有任何疑问,请联系我们:

  • 如果您想获取本课程全部课时,请扫PPT的二维码加入。
  • AWS爱好者的网址是www.iloveaws.cn,认证视频课程,免费的认证考试仿真题以及认证课程文章,都可以在网站找得到
  • 可以通过扫码加入【AWS爱好者】微信公众号,查看原创的AWS知识点相关文章。
  • 加入【AWS爱好者】微信群,和其他同学一起备考,以及探讨交流AWS相关知识。

我们今天的视频课程就到这里,感谢大家的观看,我们下一课程再见。

2021年4月28日

0 responses on "47-配置VPC终端节点策略"

Leave a Message

Setup Menus in Admin Panel

error: Content is protected !!