AWS应用场景[2021-03-21]

场景

公司使用Amazon S3在特定的虚拟私有云(VPC)中存储只能Amazon EC2访问的文档。该公司担心，有权访问此实例的内部人员还会在另外一个VPC中设置EC2实例来访问这些文档。
问：如何才能提供所需要的保护？

解决方案

• A.
  使用S3 VPC端点与S3存储桶策略来限制此VPC端点的访问
• B.
  使用EC2实例配置文件和S3存储桶策略来限制对附加到该实例配置文件的角色访问
• C.
  使用S3客户端加密将秘钥存储在实例元数据中。
• D.
  使用S3服务器加密，并使用加密上下文保护秘钥

知识点

VPC

Virtual Private Cloud，是可以在自定义的逻辑隔离虚拟网络中启动AWS资源的服务。在VPC中，IP地址范围。子网、路由表、网络网关等有事自己可以控制的，也可以自定义安全组、与ACL控制列表等

EC2实例如何链接到S3

网络连接可以将EC2使用网关VPC终端连接到S3，这就是题中的办法。

分析

方案B中配置的角色，同样能够被添加到新建的VPC中，
方案C中农元数据是可以通过API直接获取明文的，不安全
方案D中上下文同样可以被模拟初相同的也不安全。
方案A是在S3存储桶策略方面对VPC的地址段进行限制

尾巴

艰辛曲折必然，历尽沧桑悟然。