นโยบาย S3 ที่อนุญาตโดย IP ไม่สามารถเปลี่ยนแปลงได้

เรามีบัคเก็ต S3 ที่มีเนื้อหาเว็บไซต์ให้บริการแก่สาธารณะผ่านพร็อกซีแคช การเข้าถึงบัคเก็ตจำกัดเฉพาะ IP ที่พร็อกซีใช้ ทั้งหมดนี้ทำงานได้ดี

มีการเพิ่ม IP ใหม่ไปยังพร็อกซีเมื่อเร็วๆ นี้ แต่เราไม่สามารถเพิ่ม IP เหล่านั้นลงในนโยบายได้ การแก้ไขนโยบายโดยตรงจะให้ "การอนุญาตที่ถูกปฏิเสธ" ไม่ว่าผู้ใช้จะมีสิทธิ์ใดก็ตาม เราพบว่าเราสามารถแก้ไขปัญหานี้ได้โดยการเลิกบล็อกการเข้าถึงบัคเก็ตแบบสาธารณะเป็นการชั่วคราว อย่างไรก็ตาม หากเราเพิ่ม IP ใหม่ หลังจากปิดกั้นการเข้าถึงสาธารณะอีกครั้ง เราจะค้นพบสิ่งนั้น ทั้งหมด คำขอถูกบล็อก หากเราย้อนกลับการเปลี่ยนแปลงนโยบายกลับไปเป็นรายการ IP เดิม นโยบายก็จะกลับไปทำงาน

นโยบายค่อนข้างพื้นฐานและมีลักษณะดังนี้ (แก้ไขเพื่อความเป็นส่วนตัว):

{
    "เวอร์ชัน": "2012-10-17",
    "รหัส": "ถังของฉัน",
    "คำแถลง": [
        {
            "ซิด": "IPallow",
            "เอฟเฟกต์": "อนุญาต",
            "อาจารย์ใหญ่": "*",
            "การกระทำ": "s3:*",
            "ทรัพยากร": "arn:aws:s3:::my-bucket/*",
            "เงื่อนไข": {
                "ที่อยู่ IP": {
                    "aws:SourceIp": [
                        "23.235.32.0/20",
                        "43.249.72.0/22",
                        "103.244.50.0/24",
                        "103.245.222.0/23",
                        "103.245.224.0/24",
                        "104.156.80.0/20",
                        "140.248.64.0/18",
                        "140.248.128.0/17",
                        "146.75.0.0/17",
                        "151.101.0.0/16",
                        "157.52.64.0/18",
                        "167.82.0.0/17",
                        "167.82.128.0/20",
                        "167.82.160.0/20",
                        "167.82.224.0/20",
                        "172.111.64.0/18",
                        "185.31.16.0/22",
                        "199.27.72.0/21",
                        "199.232.0.0/16",
                        "2a04:4e40::/32",
                        "2a04:4e42::/32"
                    ]
                }
            }
        }
    ]
}

ฉันคิดว่าคุณอาจจะโดน นี้.

ฉันเชื่อว่าถ้าคุณมีรายการ IP จำนวนมาก และ คุณมี ปิดกั้นการเข้าถึงสาธารณะ เปิดที่ระดับบัญชี แล้วคุณจะพบกับกรณีขอบนี้

เมื่อเปิด BPA แล้ว S3 จะตรวจสอบนโยบายเพื่อป้องกันไม่ให้ผู้อื่นอนุญาต 0/0 หรือคล้ายกัน.สำหรับช่วงหรือรายการ IP ที่ใหญ่พอ การตรวจสอบที่ S3 ใช้อยู่เบื้องหลังเพื่อระบุ 'สาธารณะ' จะมีช่วงที่กว้างเกินไปที่จะตรวจสอบ และจะหมดเวลาหรือเกิดข้อผิดพลาด

หากคุณสามารถจำกัดช่วงของคุณให้แคบลงหรือหาวิธีอื่นในการปกป้องข้อมูลได้ คุณก็น่าจะโอเค