場(chǎng)景
公司使用Amazon S3在特定的虛擬私有云(VPC)中存儲(chǔ)只能Amazon EC2訪問(wèn)的文檔蚕键。該公司擔(dān)心瞻佛,有權(quán)訪問(wèn)此實(shí)例的內(nèi)部人員還會(huì)在另外一個(gè)VPC中設(shè)置EC2實(shí)例來(lái)訪問(wèn)這些文檔讶迁。
問(wèn):如何才能提供所需要的保護(hù)?
解決方案
- A.
使用S3 VPC端點(diǎn)與S3存儲(chǔ)桶策略來(lái)限制此VPC端點(diǎn)的訪問(wèn) - B.
使用EC2實(shí)例配置文件和S3存儲(chǔ)桶策略來(lái)限制對(duì)附加到該實(shí)例配置文件的角色訪問(wèn) - C.
使用S3客戶端加密將秘鑰存儲(chǔ)在實(shí)例元數(shù)據(jù)中郁稍。 - D.
使用S3服務(wù)器加密,并使用加密上下文保護(hù)秘鑰
知識(shí)點(diǎn)
VPC
Virtual Private Cloud,是可以在自定義的邏輯隔離虛擬網(wǎng)絡(luò)中啟動(dòng)AWS資源的服務(wù)。在VPC中窝稿,IP地址范圍。子網(wǎng)凿掂、路由表讹躯、網(wǎng)絡(luò)網(wǎng)關(guān)等有事自己可以控制的,也可以自定義安全組缠劝、與ACL控制列表等
EC2實(shí)例如何鏈接到S3
網(wǎng)絡(luò)連接可以將EC2使用網(wǎng)關(guān)VPC終端連接到S3,這就是題中的辦法骗灶。
分析
方案B中配置的角色惨恭,同樣能夠被添加到新建的VPC中,
方案C中農(nóng)元數(shù)據(jù)是可以通過(guò)API直接獲取明文的耙旦,不安全
方案D中上下文同樣可以被模擬初相同的也不安全脱羡。
方案A是在S3存儲(chǔ)桶策略方面對(duì)VPC的地址段進(jìn)行限制
尾巴
艱辛曲折必然,歷盡滄桑悟然免都。
