AT
Да можно конечно, просто не так удобно, плюс можно настроить алерты например кто-нибудь задеплоил S3 бакет открытый или базу наружу выставил..
Size: a a a
2020 September 09
VM
Al T
Да можно конечно, просто не так удобно, плюс можно настроить алерты например кто-нибудь задеплоил S3 бакет открытый или базу наружу выставил..
Так и тут можно, есть даже сторонние тулы которые на основе этого ещё серьезнее конфига работают
AT
👍
VP
Всем привет.
Подскажите, кто-то включал vpc gateway s3 endpoint на существующей инфре? После этого для ec2 инстансов внутри vpc для аппок меняется то, как надо обращаться к бакетам? Не пропадает ли обычная возможность обращаться по публичным урлам к бакетам? И какие вообще дополнительные настройки надо будет сделать? Есть опасения, что если сейчас включить gateway, то существующая работа с s3 может сломаться.
Подскажите, кто-то включал vpc gateway s3 endpoint на существующей инфре? После этого для ec2 инстансов внутри vpc для аппок меняется то, как надо обращаться к бакетам? Не пропадает ли обычная возможность обращаться по публичным урлам к бакетам? И какие вообще дополнительные настройки надо будет сделать? Есть опасения, что если сейчас включить gateway, то существующая работа с s3 может сломаться.
AD
Все работает как обычно, никаких изменений делать не надо. По крайней мере не сталкивались ни с какими проблемами
VP
То есть вариант «включили vpc gateway s3 endpoint — обломалась существующая работа с s3» не произойдет?
А вы включали для всех route tables в своей vpc или только для некоторых?
А вы включали для всех route tables в своей vpc или только для некоторых?
AD
надо посмотреть. уже не помню. как доберусь до компьютера посмотрю
AP
Всем привет.
Подскажите, кто-то включал vpc gateway s3 endpoint на существующей инфре? После этого для ec2 инстансов внутри vpc для аппок меняется то, как надо обращаться к бакетам? Не пропадает ли обычная возможность обращаться по публичным урлам к бакетам? И какие вообще дополнительные настройки надо будет сделать? Есть опасения, что если сейчас включить gateway, то существующая работа с s3 может сломаться.
Подскажите, кто-то включал vpc gateway s3 endpoint на существующей инфре? После этого для ec2 инстансов внутри vpc для аппок меняется то, как надо обращаться к бакетам? Не пропадает ли обычная возможность обращаться по публичным урлам к бакетам? И какие вообще дополнительные настройки надо будет сделать? Есть опасения, что если сейчас включить gateway, то существующая работа с s3 может сломаться.
Фактически для приложения ничего не меняется. Меняется только маршрут (вы вносите исправления в таблицу маршрутизации)
AP
То есть вариант «включили vpc gateway s3 endpoint — обломалась существующая работа с s3» не произойдет?
А вы включали для всех route tables в своей vpc или только для некоторых?
А вы включали для всех route tables в своей vpc или только для некоторых?
На мой взгляд имеет смысл включать для всех.
VP
Фактически для приложения ничего не меняется. Меняется только маршрут (вы вносите исправления в таблицу маршрутизации)
Просто была какая-то инфа, что при включении этого гейтвея перестает быть доступным с3 по обычной схеме. А вот этого очень не хочется. )) Если найду, где это пробегало, покажу.
ZA
Что то ошибка при загрузке файлов в S3 с lambda. Создал роль и дал доступ к S3. Роль привязал к функции. Но все равно выходит ошибка AccessDenied
AD
Проверь bucket policy - там может быть политика которая конфиликтует
AD
ты только s3:PutObject разрешил?
AD
там еще нужно list bucket и listobjects разрешать
AD
вот так примерно
data "aws_iam_policy_document" "s3" {
statement {
sid = "AllowPut"
actions = [
"s3:ListObjectsV2",
"s3:ListBucket",
"s3:PutObject",
"s3:PutObjectAcl"
]
resources = [
"${module.release_bucket.this_s3_bucket_arn}",
"${module.release_bucket.this_s3_bucket_arn}/*"
]
}
}AD
так же проверяй cloudtrail - в event'е будет детальное описание ошибки и из нее будет понятно что делать дальше