场景
公司使用Amazon S3在特定的虚拟私有云(VPC)中存储只能Amazon EC2访问的文档。该公司担心,有权访问此实例的内部人员还会在另外一个VPC中设置EC2实例来访问这些文档。
问:如何才能提供所需要的保护?
解决方案
- A.
使用S3 VPC端点与S3存储桶策略来限制此VPC端点的访问 - B.
使用EC2实例配置文件和S3存储桶策略来限制对附加到该实例配置文件的角色访问 - C.
使用S3客户端加密将秘钥存储在实例元数据中。 - D.
使用S3服务器加密,并使用加密上下文保护秘钥
知识点
VPC
Virtual Private Cloud,是可以在自定义的逻辑隔离虚拟网络中启动AWS资源的服务。在VPC中,IP地址范围。子网、路由表、网络网关等有事自己可以控制的,也可以自定义安全组、与ACL控制列表等
EC2实例如何链接到S3
网络连接可以将EC2使用网关VPC终端连接到S3,这就是题中的办法。
分析
方案B中配置的角色,同样能够被添加到新建的VPC中,
方案C中农元数据是可以通过API直接获取明文的,不安全
方案D中上下文同样可以被模拟初相同的也不安全。
方案A是在S3存储桶策略方面对VPC的地址段进行限制
尾巴
艰辛曲折必然,历尽沧桑悟然。