AWS S3 存储桶上有一个静态网站。该站点必须仅供一个团队使用。它可以是身份验证系统,或者通过 AWS Client VPN Endpoint 访问(只有这个团队使用 AWS VPN)。
我已经阅读了有关 S3 接入点、VPC 端点、带有 VPC 的存储桶策略和 IP 限制的信息,并进行了一些实验。有一个想法是仅使用 VPN 限制 VPC 的访问。但是我无法将桶流量转发到 VPN 隧道,因为我的桶 IP 地址一直在变化。
而且这种方式看起来并不直。
我可以使用什么服务或服务组合以最小的努力实施限制?
我过去采用的一种方法是使用 API 网关作为托管在私有 S3 存储桶中的静态 UI 内容的代理。您可以使用公共或私有 APIGW。对于公共,您将需要一个APIGW 资源策略来限制对 VPC 端点的访问。您还可以使用私有APIGW——唯一的缺点是 AWS 不支持私有 api 网关的自定义 DNS(您将使用类似于 --documentation 的 url 访问您的站点https://{rest-api-id}-{vpce-id}.execute-api.{region}.amazonaws.com/{stage})。AWS 还提供了有关创建 apigw 作为 s3 代理的良好文档。
在这个例子中,流量会去:client-> vpn -> vpc endpoint -> apigw -> s3
希望这会有所帮助!