バケットポリシーでこのIPアドレスが許可されていてもS3バケットのコンテンツをダウンロードできません

Question

curlとwgetを使用するmy ec2インスタンスのいずれかを使用してS3バケットからファイルをダウンロードしようとしています。私は

{ 
"Version": "2012-10-17", 
"Statement": [ 
    { 
     "Sid": "HelpGetObject", 
     "Effect": "Allow", 
     "Principal": "*", 
     "Action": "s3:GetObject", 
     "Resource": ["arn:aws:s3:::name_of_bucket/*"], 
     "Condition": { 
      "IpAddress": { 
       "aws:SourceIp": [ 
        "10.152.0.0/15", 
        "10.154.0.0/17", 
        "10.154.128.0/17" 
       ] 
      } 
     } 
    } 
] 
} 

私は、IPアドレス10-152-17-111を持っている私のインスタンスに行ったとして、もともと私のバケットポリシーを設定し、

wget https://s3.amazonaws.com/name_of_bucket/my_file.tar.gz 

これをとし、引用符なしのwget /カールをしましたこれは、今、私に403

を与えた私はすべてS3のアクションが使用可能であったように、私のポリシーを変更して、私のスペックhttps://s3.amazonaws.com/name_of_bucket/my_file.tar.gz

くれ403 カールを与えましたIFICのIPアドレスが

{ 
"Version": "2012-10-17", 
"Statement": [ 
    { 
     "Sid": "HelpGetObject", 
     "Effect": "Allow", 
     "Principal": "*", 
     "Action": "s3:*", 
     "Resource": [ 
      "arn:aws:s3:::name_of_bucket", 
      "arn:aws:s3:::name_of_bucket/*" 
     ], 
     "Condition": { 
      "IpAddress": { 
       "aws:SourceIp": [ 
        "10.152.0.0/15", 
        "10.154.0.0/17", 
        "10.154.128.0/17", 
        "10.152.17.111/32" 
       ] 
      } 
     } 
    } 
] 
} 

を含まれていた私は、引用符でとせずに、再び、同じコマンドを実行しました：

wget https://s3.amazonaws.com/name_of_bucket/my_file.tar.gz 

リターン403

curl https://s3.amazonaws.com/name_of_bucket/my_file.tar.gz 

リターン403

ノー持っています次に何をすべきか、私はs3バケットから自分のファイルをダウンロードしたいだけです。私はパーミッションが必要ですが、何も動作していません。

Answer 1

s3バケットポリシーでは、許可されたIPを10/8の範囲で指定します。しかし、あなたが打っているs3エンドポイントはあなたのプライベート10/8ネットワークにはありません。彼らはパブリックIPを持っており、お客様のリクエストはパブリックIPではなく、プライベートIPから発信されたものとみなされます。

https://wtfismyip.com/textは、あなたの公開IPを特定する方法の1つです。明らかに、これは現在のネットワークに応じて変更され、そのネットワーク上の他の人にも適用されます。これは、IPベースのアクセス許可がS3アクセスを許可する一般的な方法ではない2つの理由です。 s3のコンテンツが本当に公開されていて機密でない場合は、アップロード時にpublic-read ACLをオブジェクト自体に添付することを検討することがあります。バケツポリシーは無関係です。

tl; dr：パブリックIPをプライベートIPではなくポリシーに設定します。