Como restringir o EC2 de saída para acessar somente o S3?

is it possible to just allow the EC2 instance to access the S3? Is there any ip connected to the S3 bucket or can I set one?

O S3 usa muitos IPs. Eu suspeito que seria difícil encontrar uma lista de todos eles. Além disso, não há mapeamento de IP para intervalo e não é possível especificar um IP para um intervalo. O S3 é um serviço gerenciado executado pela AWS, e eles têm controle total sobre o uso do endereço IP para o serviço.

Se você precisar filtrar nesse nível, o mais fácil é usar um proxy de encaminhamento (como o squid) com uma ACL padrão de negação e permitir somente o acesso ao domínio S3.

Você pode querer usar pontos de extremidade de VPC aqui.

link

"Um endpoint VPC permite que você crie uma conexão privada entre seu VPC e outro serviço AWS sem exigir acesso pela Internet, por meio de uma instância NAT, uma conexão VPN ou AWS Direct Connect. Endpoints são dispositivos virtuais. Eles são horizontalmente componentes VPC dimensionados, redundantes e de alta disponibilidade que permitem a comunicação entre instâncias em seus serviços de VPC e AWS, sem impor riscos de disponibilidade ou restrições de largura de banda em seu tráfego de rede. "

O AWS fornece uma lista de seus intervalos de IP públicos via JSON. (talvez outros formatos também, mas não tenho certeza.) Criar uma ferramenta para garantir que o JSON seja analisado e as regras de firewall adequadas sejam aplicadas deve ser relativamente simples. Por favor, consulte o seguinte artigo do blog para mais informações. :)

link

Criando esta resposta , os intervalos de IP da AWS disponíveis em JSON aqui ( link ) agora especifica quais serviços estão disponíveis a partir dos quais os intervalos de IP (S3 tem 136 entradas até o momento).

Portanto, se você tiver um grupo de segurança com essas entradas, poderá colocar na lista de permissões o S3 como um serviço. A lista será alterada e poderá incluir outros serviços da AWS, mas é um começo.