限制AccessKey使用范围的source ip

最新推荐文章于 2024-12-11 17:14:34 发布
原创 最新推荐文章于 2024-12-11 17:14:34 发布 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#AccessKey #SourceIP #AWS

本文介绍如何通过创建特定用户、限制权限使用方式及设置策略来增强AWS管理员权限的安全性,包括创建无密码用户、使用MFA绑定手机、创建API用户并限制IP访问等措施。
部署运行你感兴趣的模型镜像

有时候我们需要限制一下某些权限较高的用户使用权限的方式,来增强安全性。
我给个方案,可使AWS管理员的权限使用起来更安全:
(1)创建用户wangfei,不要AccessKey,管理员权限,设置密码(设置了密码才能web console登录),只用作浏览器操作,然后使用MFA绑定手机,这样可以在任何地点用web console来操作,绑定了手机验证登录,而且还没有AccessKey,比较安全。
(2)创建wangfei-api用户,不设置密码,无web console登录权限,创建AccessKey, 只用作API操作, 然后授权,然后加入如下这个策略来限制AccessKey使用的来源IP

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "NotIpAddress": {
        "aws:SourceIp": ["114.255.34.0/24", "114.247.160.128/25"]
      }
    }
  }]
}

在白名单IP范围内正常操作
在有权限但不在IP白名单内地方执行API操作时会报错
A client error (UnauthorizedOperation) occurred when calling the DescribeVpcs operation: You are not authorized to perform this operation.

您可能感兴趣的与本文相关的镜像

Wan2.2-T2V-A5B

Wan2.2-T2V-A5B

文生视频
Wan2.2

Wan2.2是由通义万相开源高效文本到视频生成模型,是有​50亿参数的轻量级视频生成模型,专为快速内容创作优化。支持480P视频生成,具备优秀的时序连贯性和运动推理能力

AWS 中文入门开发教学 9- 网络IP范围设计
weixin_43487849的博客
08-18 404
考虑到系统整体可用性,今后需要将服务部署到多个AZ区,一个AZ区对应一个子网,所以应该提前做好IP地址的规划。主要用于对外公开的服务器,外部可直接访问到,如:Web,API服务器。主要用于内部使用的服务器,外部不可访问到,如:DB, Redis等。.........
AWS S3 访问控制:IP 限制的困惑与解决方案
最新发布
m0_74337424的博客
07-09 114
摘要:本文分享了在Amazon S3中通过IP地址限制文件访问时遇到的问题及解决方案。作者发现直接使用IP地址的Bucket Policy会导致网页访问403错误,而终端curl请求却能成功。通过分析,确认问题在于IP格式和请求源差异。解决方案包括:1)验证服务器公网IP;2)改用CIDR表示法调整策略;3)推荐使用预签名URL作为更安全的替代方案。最终实现了对S3文件的精确访问控制,为类似场景提供了参考。
AWS IAM 通过策略设置,实现对账户及其访问密钥(AK/SK)的IP白名单限制
weixin_45945976的博客
06-25 636
AWS IAM 通过策略设置,实现对账户及其访问密钥(AK/SK)的IP白名单限制
AWS云计算技术架构探索系列之二-身份账户体系(IAM)
恰恰虎的博客
05-01 4988
一、前言 建立身份账户体系是我们上云的第一步,良好的账户体系设计,会为后续的管理带来极大的便捷性和扩展性,反之,则可能增加管理的复杂,以及账户使用的不安全。 AWS设计了一套完备的身份账号体系,主要包括IAM(Identity and Access Management),以及Organizations,其中IAM,包括账号,用户组,用户,角色,策略等。其关系图如下: 用户,用户是AWS的身份凭证,分为根用户和IAM用户。用户的识别包括用户名/密码,AK/SK。 用户组,...
使用VPC终端节点策略控制对服务的访问
iloveaws的博客
04-02 1055
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cns Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》,我们今天的课程内容为:使用VPC 终端节点策略 控制对服务的访问。 VPC 终端节点策略的考点会经常出现在SAP认证考试中,会有一些题目涉及 访问S3 的终端节点的内容,然后让你设计控制S3存储桶的访问,这种场景是可以使用S3 存储桶策略来控制 从特定终端节点 或
IP Source Guard典型配置指导
01-25
通过IP Source Guard绑定功能,可以对端口转发的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。
使用redis配置ip列表实现Nginx限制ip访问
daiming573的专栏
05-23 1091
一、概述 在现实条件中,需要对有疑问的ip进行限制隔离,或者限制部分无效流量。例如抢购商品,当商品抢完后,剩余的流量访问不到服务端,在网络层拦截返回商品售完,或对恶意的ip地址进行拦截,拒绝访问等。 限制ip访问有很多方式,包括系统自身的防火墙,这里是使用Nginx配置lua插件,配置ip黑名单,redis中管理黑名单,redis中的ip地址可供多个Nginx共享管理。 本文使用OpenResty...
【漏洞复现】CVE-2024-34102 Magento Open Source XXE漏洞
渗透之路,攻防之间皆学问
12-11 2385
Adobe Commerce和Magento Open Sourc多个受影响版本中存在XML外部实体引用限制不当,未经身份验证的威胁者可发送引用外部实体的恶意设计的 XML文档来利用该漏洞,成功利用可能导致任意代码执行。
大数据——Flume组件Source、Channel和Sink具体使用
蜂蜜柚子加苦茶
12-14 2737
Flume组件Source、Channel和Sink使用说明Flume SourcesAvro Source配置范例Thrift Source配置范例Exec Source配置范例JMS Source关于转化器配置范例Spoolinng Directory Source配置范例Event反序列化器Taildir Source配置范例Twitter 1% firehose Source(实验性)配置范例Kafka Source配置范例NetCat TCP Source配置范例NetCat UDP Source
如何通过Istio实现基于IP地址的出站流量限制
05-11
例如,先通过ServiceEntry定义允许的IP范围,然后使用AuthorizationPolicy来允许这些目标IP,同时设置Sidecar为REGISTRY_ONLY模式,这样只有ServiceEntry中定义的IP可以被访问。 另外,用户可能需要使用EnvoyFilter...
AWS S3限制IP访问策略
神棍之路
07-16 4707
By default, anonymous accounts and users are restricted from accessing S3 – unless they are given access through S3’s bucket policy. In this tutorial, we’ll show you how to grant and ...
Amazon S3 功能介绍
weixin_30583563的博客
06-04 946
1 存储过程 创建用于存储数据元的桶,可以选择数据元所驻留的地区(目前来说,选择东京、新加坡会快些,美国本土更便宜),上传数据元到桶,进行持久化存储。另外,可以对上传的数据元及桶进行访问控制、加密等设置。每个AWS账户可以创建多个用户,用户可以对所拥有的数据进行上述权限控制。 目前可存储的你内容有: (1)多媒体、音乐、图片 (2)视频监控文件 (3)医疗系统...
由OSS AccessKey泄露引发的思考
mingyqf的博客
08-23 3128
请求的主机名xxxx.aliyuncs.com和表单的OSSAccessKeyId参数,基本可以确认系统使用 OSS 作为上传文件存储,即使上传恶意脚本文件也无法成功解析,面对这种情况如何破局?ossbrowser 是 OSS 官方提供的图形化管理工具,提供类似 Windows 资源管理器的功能,使用 ossbrowser,您可以方便地浏览、上传、下载和管理文件。一键备份数据到阿里云OSS,支持Bucket管理,支持鼠标拖放,支持剪贴板,支持断点续传,支持统计目录大小,支持文件搜索。
AWS ISSUE
一生怎会一帆风顺
11-01 1273
AWS学习中遇到的问题,个人整理
Telnet指定源地址IP (telnet use source ip
热门推荐
壹零Boy-MePlusPlus(米加加)的博客
07-21 3万+
问题:linux主机具备多个IP地址和别名,但只有一个IP地址可以访问远程主机,远程主机有限制。 - telnet 是否原生支持选项,指定源IP地址? - 在linux环境下,有哪些方法可以测试端口的连通性?方法一:telnet -b 选项该方法在SUSE Linux 11中测试通过,windows下不支持。 telnet -b source_ip destanation_ip port
minio 并发数_Nginx限制IP并发数与下载速度的方法
weixin_35417122的博客
01-17 2051
在Nginx服务器上进行一些常规设置,来限制其并发数及会话空间等。nginx限制ip并发数,也是说限制同一个ip同时连接服务器的数量1,添加limit_zone这个变量只能在http使用代码示例:vi /usr/local/nginx/conf/nginx.conflimit_zone one $remote_addr 10m;2,添加limit_conn这个变量可以在http, server, ...
Minio(二) | Minio多用户权限控制
qq_38425803的博客
03-23 2万+
文章目录前言Minio客户端的使用权限控制主流程测试Amazon S3 定义的操作:即各种权限配置 前言         前文我们学习了minio的基本概念与搭建,那么如果我们有n个系统,n个系统都在使用同一套minio,那么如何来控制每个系统的访问权限呢???本文则重在解决此问题。 Minio客户端的使用 MinIO客户端快速入门指南        &nbs
IP协议以及IP地址分类
rabbit_in_android的博客
11-29 1263
网络层(network layer)是实现互联网的最重要的一层。正是在网络层面上,各个局域网根据IP协议相互连接,最终构成覆盖全球的Internet。更高层的协议,无论是TCP还是UDP,必须通过网络层的IP数据包(datagram)来传递信息。操作系统也会提供该层的socket,从而允许用户直接操作IP包。 IP数据包是符合IP协议的信息(也就是0/1序列),我们后面简称IP数据包为IP
aws s3仅允许cloudfront访问_S3存储桶策略(S3 Bucket Policies)
weixin_39788969的博客
12-01 877
08-S3存储桶策略(S3 Bucket Policies)【 Domain 1的组织复杂性设计(Design for Organizational Complexity)】——-S3存储桶策略(S3 Bucket Policies)Hello大家好,欢迎回来,我们今天的课程内容是S3存储桶策略。关注微信公众号:AWS爱好者基于资源的策略和基于用户策略Amazon S3 提供的访问策略选项大致可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值