AWS |如何让CORS允许来自特定域的访问？

如果您试图将S3存储桶访问限制为特定IP地址，则需要创建一个存储桶策略，其条件为包含IP地址。如果您允许的IP地址属于EC2，则应创建一个IAM角色，将其附加到EC2，并将存储桶限制为角色ARN。这样可以总体上提供更好的安全性，如果您没有与之关联的弹性IP，并且服务器由于任何原因而关闭，那么您的EC2 IP地址也会更改。

基于特定IP taken from the documentation限制访问的示例存储桶策略如下：

{
  "Version": "2012-10-17","Id": "S3PolicyId1","Statement": [
    {
      "Sid": "IPAllow","Effect": "Deny","Principal": "*","Action": "s3:*","Resource": [
         "arn:aws:s3:::awsexamplebucket1","arn:aws:s3:::awsexamplebucket1/*"
      ],"Condition": {
         "NotIpAddress": {
            "aws:SourceIp": [
                "123.456.789/32","234.567.890/32"
          ]
        }
      }
    }
  ]
}

这将拒绝对与给定IP列表不匹配的任何IP的所有访问，并允许这些特定IP对存储桶进行ALL访问（这不是一个好习惯）。

如果您尝试限制EC2实例对存储桶的访问，则希望使用类似以下的内容：

{
  "Version": "2012-10-17","Statement": [
    {
      "Sid": "RoleAllow","Principal": "arn:aws:iam::*:role/service-role/role-name",}
  ]
}

您将使用角色的ARN修改Principal字段。您可以通过右键单击实例，转到Instance Settings，然后单击Attach/Replace IAM Role，从控制台将角色附加到EC2。

如果您尝试仅从您的计算机访问S3存储桶，请使用第一台计算机，并将IP地址替换为IP列表。

编辑： 如评论中所述，要限制HTTP引荐来源对S3的访问，您也可以使用存储桶策略来做到这一点。

{
  "Version":"2012-10-17","Id":"http referer policy example","Statement":[
    {
      "Sid":"Allow get requests originating from www.example.com and example.com.","Effect":"Allow","Principal":"*","Action":["s3:GetObject","s3:GetObjectVersion"],"Resource":"arn:aws:s3:::awsexamplebucket1/*","Condition":{
        "StringLike":{"aws:Referer":["http://www.example.com/*","http://example.com/*"]}
      }
    }
  ]
}

此示例为pulled directly from the documentation。