Gateway Endpoint Policy

在上一节创建VPC Gateway Endpoint时,有一步是对权限进行设置,默认是Full Access:

image-20220911212235286

在创建完成后,它的policy定义如下:

image-20220911212403952

VPC Endpoint Policy

可以设置Gateway Endpoint的控制策略,限定其只能访问特定的资源

例如只能访问某个特定的S3或者DynamoDB:

image-20220911195740181

此时只能在特定的桶上进行S3操作,操作其他桶时会提示没有权限:

image-20220911212643587

Resource based policy - S3 bucket policy

在S3上,也可以设置基于Resource的policy。例如限定只能由某个VPC Endpoint访问该S3:

image-20220911195820684

S3 Troubleshooting

基于上面的内容,我们可以总结在私网环境下S3 Troubleshooting的经验:

image-20220911212809709

  1. 检查EC2上有没有访问S3的IAM权限
  2. 检查VPC DNS设置(例如是否使用自定义的DHCP)
  3. 检查子网到S3的路由表(prefix list -> vpce)
  4. 检查VPC Gateway Endpoint上的Policy是否允许访问对应S3
  5. 检查S3 bucket policy是否做了限制