如何解决AWS |如何让CORS允许来自特定域的访问?
我试图通过特定IP和域来锁定对Elastic Beanstalk / EC2 AWS服务器的入站呼叫
示例-允许访问以下任意一项:
- IP:123.456.789、234.567.890
- 域:http:// localhost:8080(来自本地Angular Web App)
我正在使用安全组将IP成功添加白名单。阅读了AWS文档之后,看来CORS是允许域访问的我的解决方案,但是我遇到了问题。该链接指示将XML写入S3存储桶中的CORS配置。我的看起来像这样:
<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
<CORSRule>
<AllowedOrigin>http://localhost:8080</AllowedOrigin>
<AllowedMethod>PUT</AllowedMethod>
<AllowedMethod>GET</AllowedMethod>
<AllowedMethod>POST</AllowedMethod>
<AllowedMethod>DELETE</AllowedMethod>
<AllowedHeader>*</AllowedHeader>
</CORSRule>
</CORSConfiguration>
这是我的预期/实际情况/结果:
- 如果不在白名单安全组BUT域中的IP在CORS XML内:'http:// localhost:8080'-预期:GET调用以返回数据。实际:没有任何回报(通话挂起)
解决方法
如果您试图将S3存储桶访问限制为特定IP地址,则需要创建一个存储桶策略,其条件为包含IP地址。如果您允许的IP地址属于EC2,则应创建一个IAM角色,将其附加到EC2,并将存储桶限制为角色ARN。这样可以总体上提供更好的安全性,如果您没有与之关联的弹性IP,并且服务器由于任何原因而关闭,那么您的EC2 IP地址也会更改。
基于特定IP taken from the documentation限制访问的示例存储桶策略如下:
{
"Version": "2012-10-17","Id": "S3PolicyId1","Statement": [
{
"Sid": "IPAllow","Effect": "Deny","Principal": "*","Action": "s3:*","Resource": [
"arn:aws:s3:::awsexamplebucket1","arn:aws:s3:::awsexamplebucket1/*"
],"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"123.456.789/32","234.567.890/32"
]
}
}
}
]
}
这将拒绝对与给定IP列表不匹配的任何IP的所有访问,并允许这些特定IP对存储桶进行ALL访问(这不是一个好习惯)。
如果您尝试限制EC2实例对存储桶的访问,则希望使用类似以下的内容:
{
"Version": "2012-10-17","Statement": [
{
"Sid": "RoleAllow","Principal": "arn:aws:iam::*:role/service-role/role-name",}
]
}
您将使用角色的ARN修改Principal
字段。您可以通过右键单击实例,转到Instance Settings
,然后单击Attach/Replace IAM Role
,从控制台将角色附加到EC2。
如果您尝试仅从您的计算机访问S3存储桶,请使用第一台计算机,并将IP地址替换为IP列表。
编辑: 如评论中所述,要限制HTTP引荐来源对S3的访问,您也可以使用存储桶策略来做到这一点。
{
"Version":"2012-10-17","Id":"http referer policy example","Statement":[
{
"Sid":"Allow get requests originating from www.example.com and example.com.","Effect":"Allow","Principal":"*","Action":["s3:GetObject","s3:GetObjectVersion"],"Resource":"arn:aws:s3:::awsexamplebucket1/*","Condition":{
"StringLike":{"aws:Referer":["http://www.example.com/*","http://example.com/*"]}
}
}
]
}