0
私のElastic Beanstalk環境内でのみ動作するようにAPIキーを制限します。私はVPC条件を使用しようとしましたが、これはうまくいかず、文書はいつも利用できるとは限りません(EBではないと思います)。EB環境またはVPCのみからKMSにアクセスするためのAWS APIキーの制限
私のテスト用EC2に公開IPを使用することで、ある程度はうまくいきましたが、EBが拡大するにつれてこれはうまくいきません。
これは、単一のIP制限で動作します私の現在の主要な政策である:
{
"Version": "2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Allow access for Key Administrators",
<snip>
},
{
"Sid": "Allow use of the key by EB user",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<account_id>:user/<my eb user>"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceIp": "<my test ec2 public ip>"
}
}
}
]
}
私はこれをどのように行うことができますか?実際にVPCによって制限することは可能ですか、またはEB環境内からのアクセスのみを許可する他の方法がありますか?
ありがとうございます、私はこれを行っていきます。 – Paul
これはうまくいった!ありがとうございました(NATとELBの両方がパブリックサブネットにある必要があります。 – Paul