AWS neden halka açık S3 kovalarına karşı tavsiye veriyor?

52

“S3 kovanıza hiçbir zaman kamuya erişim izni vermemenizi kesinlikle öneririz.”

Bir web sitesine ev sahipliği yapmak için kullandığım bir kova için çok ayrıntılı bir kamu politikası (s3: GetObject) belirledim. Route53, bu amaçla bir kepçenin takılmasını açıkça destekler. Bu uyarı sadece gereksiz mi yoksa yanlış bir şey mi yapıyorum?

security  amazon-web-services  amazon-s3  amazon-route53 
Andrew Johnson
kaynak
1
@MichaelHampton Bu, S3 konsolunda fazladan bir bağlam olmadan gösterilecektir. businessinsights.bitdefender.com/…
ceejayoz
İlgili - AWS özel bir kovaya görebilir mi, yoksa AWS'nin içindeki dosyalara erişmesi halka açık mı olmalı?
Criggie
@Criggie AWS destek ekibi mi? Veya başka bir şey?
ceejayoz
@ ceejayoz evet AWS destek ekibi.
Criggie
S3 Amazon olmayan bir anahtarla şifrelemeyi desteklese de, içeride dürtebilecekleri belirli bir destek seviyesinde olduğunu hayal ediyorum. Onların süreçleri, açıkça izin alınmadan yapılmamasını sağlamalı, diye düşünüyorum.
ceejayoz

Yanıtlar:

67

Evet, ne yaptığınızı biliyorsanız ( düzenleyin: ve erişimi olan diğer herkes de yapar ...), bu uyarıyı yok sayabilirsiniz.

Vardır, çünkü daha iyisini bilmesi gereken büyük kuruluşlar bile yanlışlıkla özel verileri kamu kovalarına yerleştirmiştir. Amazon, konsol içi uyarılara ek olarak kovaları halka açık bırakırsanız size e-posta gönderir.

Accenture, Verizon, Viacom, Illinois seçmen bilgileri ve askeri bilgilerin tümü, S3 silolarını yanlış ayarlayan BT gövdeleri nedeniyle istemeden çevrimiçi olarak herkese açık bırakıldı.

Kesinlikle, kovadaki her şeyin herkese açık olması gerektiğinden ve % 25'inin yanlışlıkla özel verileri koyamayacağından emin olmak istiyorsanız - statik bir HTML sitesi iyi bir örnek - o zaman elbette, herkese açık bırakın.

ceejayoz
kaynak
2
Uygulamada, neredeyse hiçbir zaman % 100 kesin değilsiniz , bu yüzden en iyi uygulama yapmamaktır.
Shadur
FBI veya CIA'nin halka açık bir S3'te güvende olması gereken özel verileri bıraktığı birkaç ay önceydi. Haber makalesine bir link bulabilir miyim, göreceğim.
Tepki
Buraya bakın: gizmodo.com/…
Reacgular
Yüce efendim, sadece web sitemin ve Android uygulamasının kepçenin nesnelerine erişebilmesine nasıl özellikle izin vereceğimi söyleyebilir misiniz? Temel olarak insanların kova içeriğimi kazımalarını istemiyorum. Ancak web sitem ve uygulamam onları yükleyebilmelidir.
bad_keypoints
35

Ceejayoz'un cevabında yer alan gizlilik sorunu tek sorun değil.
Nesneleri S3 kovasından okumak bir bedeldir. Bu kovadan her indirme işleminde AWS tarafından faturalandırılırsınız. Çok fazla trafiğiniz varsa (veya işinize zarar vermek isteyen biri tüm gün boyunca dosyaları yoğun bir şekilde indirmeye başlarsa) hızlı bir şekilde pahalı hale gelecektir.

Kovanızdaki dosyaların halka açık olmasını istiyorsanız , S3 kovasına işaret eden ve erişim hakkı verilen bir Cloudfront Dağıtım oluşturmalısınız .

Artık, herkese S3 erişimi vermeden dosyalarınızı sunmak için Cloudfront Distribution'ın etki alanı adını kullanabilirsiniz.
Bu yapılandırmada, S3'ler yerine Cloudfront'un veri kullanımı için ödeme yaparsınız. Ve daha yüksek hacimlerde daha ucuzdur.

Quentin Hayot
kaynak
2
CloudFlare da çalışır ve hala daha ucuz olması muhtemeldir.
chrylis
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.