Tại sao AWS đề xuất chống lại các thùng S3 công cộng?


52

"Chúng tôi thực sự khuyên bạn không bao giờ cấp bất kỳ loại quyền truy cập công khai nào vào nhóm S3 của mình."

Tôi đã đặt chính sách công khai rất chi tiết (s3: GetObject) cho một nhóm mà tôi sử dụng để lưu trữ trang web. Route53 rõ ràng hỗ trợ khử răng cưa cho mục đích này. Là cảnh báo này chỉ là dư thừa, hoặc tôi đang làm gì đó sai?


1
@MichaelHampton Nó sẽ hiển thị điều này trong bảng điều khiển S3, không có nhiều ngữ cảnh bổ sung. businessinsights.bitdefender.com/ từ
ceejayoz

Liên quan - AWS có thể nhìn vào một thùng riêng tư hay nó phải được công khai để AWS truy cập các tệp bên trong?
Criggie

@Criggie AWS là nhóm hỗ trợ của họ? Hay cái gì khác?
ceejayoz

@ceejayoz vâng, nhóm hỗ trợ AWS.
Criggie

Tôi tưởng tượng ở một mức độ hỗ trợ nhất định mà họ có thể chọc vào bên trong, mặc dù S3 hỗ trợ mã hóa bằng khóa không phải của Amazon. Các quy trình của họ sẽ đảm bảo nó không được thực hiện mà không có sự cho phép rõ ràng, tôi nghĩ vậy.
ceejayoz

Câu trả lời:


67

Có, nếu bạn biết bạn đang làm gì ( chỉnh sửa: và mọi người khác cũng có quyền truy cập vào nó ...), bạn có thể bỏ qua cảnh báo này.

Nó tồn tại bởi vì ngay cả các tổ chức lớn , những người nên biết rõ hơn đã vô tình đặt dữ liệu riêng tư vào các thùng công khai. Amazon cũng sẽ gửi cho bạn các email trực tiếp nếu bạn để công khai các thùng ngoài các cảnh báo trong bảng điều khiển.

Tất cả các thông tin cử tri và thông tin quân sự của Accergy, Verizon, Viacom, Illinois đều vô tình bị bỏ ngỏ cho mọi người trực tuyến do các cơ quan CNTT định cấu hình sai các silo S3 của họ.

Nếu bạn chắc chắn, chắc chắn 100% rằng mọi thứ trong nhóm phải được công khai không ai sẽ vô tình đưa dữ liệu riêng tư vào đó - một trang web HTML tĩnh là một ví dụ tốt - thì bằng mọi cách, hãy để công khai.


2
Trong thực tế, bạn hầu như không bao giờ chắc chắn 100%, vì vậy cách tốt nhất là không nên.
Shadur

Chỉ vài tháng trước, khi FBI hoặc CIA để lại dữ liệu riêng tư được cho là an toàn trên S3 công khai. Tôi sẽ xem nếu tôi có thể tìm thấy một liên kết đến bài viết tin tức.
Phản ứng


Xin chào, bạn có thể hướng dẫn tôi cách chỉ cho phép trang web và ứng dụng Android của tôi có thể truy cập các đối tượng trong thùng của tôi không? Về cơ bản tôi không muốn mọi người cạo nội dung xô của tôi. Nhưng trang web và ứng dụng của tôi sẽ có thể tải chúng.
bad_keypoint

35

Vấn đề riêng tư được nêu trong câu trả lời của ceejayoz không phải là vấn đề duy nhất.
Đọc các đối tượng từ một thùng S3 có giá. Bạn sẽ được AWS lập hóa đơn cho mỗi lần tải xuống từ nhóm này. Và nếu bạn có nhiều lưu lượng truy cập (hoặc nếu ai đó muốn làm tổn thương doanh nghiệp của bạn bắt đầu tải xuống nhiều tệp trong cả ngày) thì nó sẽ nhanh chóng trở nên đắt đỏ.

Nếu bạn muốn các tệp từ nhóm của mình có thể truy cập công khai, bạn nên tạo Phân phối trên nền tảng đám mây trỏ đến và được cấp quyền truy cập vào nhóm S3 .

Giờ đây, bạn có thể sử dụng tên miền của Cloudfront Distribution để phục vụ các tệp của mình mà không cấp bất kỳ quyền truy cập S3 nào cho công chúng.
Trong cấu hình này, bạn trả tiền cho việc sử dụng dữ liệu của Cloudfront thay vì S3. Và với khối lượng cao hơn, nó rẻ hơn rất nhiều.


2
CloudFlare cũng hoạt động và có khả năng vẫn rẻ hơn.
chrylis -on strike-
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.