Как я могу ограничить доступ к статическому сайту s3 к VPN
Я пытаюсь защитить доступ к внутреннему статическому веб-сайту.
Все в компании используют VPN для доступа к Amazon VPC, поэтому я хотел бы ограничить доступ к этому сайту, если вы используете VPN.
Итак, я узнал этодокументация на AWS использовать конечную точку VPC, которая, кажется, то, что я ищу.
Таким образом, я создал VPC, посвященный следующей политике.
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
}
]
}
На своем S3 я подтвердил, что могу получить доступ к index.html как из обычного Интернета, так и из VPN.
Затем я добавил следующую политику корзины, чтобы ограничить ее только конечной точкой VPC.
{
"Id": "Policy1435893687892",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1435893641285",
"Action": "s3:*",
"Effect": "Allow",
"Resource": "arn:aws:s3:::mybucket/*",
"Principal": {
"AWS": [
"arn:aws:iam::123456789:user/op"
]
}
},
{
"Sid": "Access-to-specific-VPCE-only",
"Action": "s3:*",
"Effect": "Deny",
"Resource": ["arn:aws:s3:::mybucket/*"],
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-1234567"
}
},
"Principal": "*"
}
]
}
Теперь Regular Web получает 403, но я также получаю 403, когда я работаю в компании VPN.
Я что-то пропустил?