AWS |如何让CORS允许来自特定域的访问？

问题描述

我试图通过特定IP和域来锁定对Elastic Beanstalk / EC2 AWS服务器的入站呼叫

示例-允许访问以下任意一项：

IP：123.456.789、234.567.890
域：http：// localhost：8080（来自本地Angular Web App）

我正在使用安全组将IP成功添加白名单。阅读了AWS文档之后，看来CORS是允许域访问的我的解决方案，但是我遇到了问题。该链接指示将XML写入S3存储桶中的CORS配置。我的看起来像这样：

<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
<CORSRule>
    <AllowedOrigin>http://localhost:8080</AllowedOrigin>
    <AllowedMethod>PUT</AllowedMethod>
    <AllowedMethod>GET</AllowedMethod>
    <AllowedMethod>POST</AllowedMethod>
    <AllowedMethod>DELETE</AllowedMethod>
    <AllowedHeader>*</AllowedHeader>
</CORSRule>
</CORSConfiguration>

这是我的预期/实际情况/结果：

如果不在白名单安全组BUT域中的IP在CORS XML内：'http：// localhost：8080'-预期：GET调用以返回数据。实际：没有任何回报（通话挂起）

解决方法

如果您试图将S3存储桶访问限制为特定IP地址，则需要创建一个存储桶策略，其条件为包含IP地址。如果您允许的IP地址属于EC2，则应创建一个IAM角色，将其附加到EC2，并将存储桶限制为角色ARN。这样可以总体上提供更好的安全性，如果您没有与之关联的弹性IP，并且服务器由于任何原因而关闭，那么您的EC2 IP地址也会更改。

基于特定IP taken from the documentation限制访问的示例存储桶策略如下：

{
  "Version": "2012-10-17","Id": "S3PolicyId1","Statement": [
    {
      "Sid": "IPAllow","Effect": "Deny","Principal": "*","Action": "s3:*","Resource": [
         "arn:aws:s3:::awsexamplebucket1","arn:aws:s3:::awsexamplebucket1/*"
      ],"Condition": {
         "NotIpAddress": {
            "aws:SourceIp": [
                "123.456.789/32","234.567.890/32"
          ]
        }
      }
    }
  ]
}

这将拒绝对与给定IP列表不匹配的任何IP的所有访问，并允许这些特定IP对存储桶进行ALL访问（这不是一个好习惯）。

如果您尝试限制EC2实例对存储桶的访问，则希望使用类似以下的内容：

{
  "Version": "2012-10-17","Statement": [
    {
      "Sid": "RoleAllow","Principal": "arn:aws:iam::*:role/service-role/role-name",}
  ]
}

您将使用角色的ARN修改Principal字段。您可以通过右键单击实例，转到Instance Settings，然后单击Attach/Replace IAM Role，从控制台将角色附加到EC2。

如果您尝试仅从您的计算机访问S3存储桶，请使用第一台计算机，并将IP地址替换为IP列表。

编辑：如评论中所述，要限制HTTP引荐来源对S3的访问，您也可以使用存储桶策略来做到这一点。

{
  "Version":"2012-10-17","Id":"http referer policy example","Statement":[
    {
      "Sid":"Allow get requests originating from www.example.com and example.com.","Effect":"Allow","Principal":"*","Action":["s3:GetObject","s3:GetObjectVersion"],"Resource":"arn:aws:s3:::awsexamplebucket1/*","Condition":{
        "StringLike":{"aws:Referer":["http://www.example.com/*","http://example.com/*"]}
      }
    }
  ]
}

此示例为pulled directly from the documentation。

amazon-ec2 amazon-elastic-beanstalk amazon-s3 amazon-web-services cors

AWS |如何让CORS允许来自特定域的访问？

问题描述

解决方法

相关问答