Frage Warum empfiehlt AWS gegen öffentliche S3-Buckets?


"Wir empfehlen dringend, dass Sie niemals öffentlichen Zugriff auf Ihren S3-Bucket gewähren."

Ich habe eine sehr detaillierte öffentliche Richtlinie (s3: GetObject) für einen Bucket festgelegt, den ich zum Hosten einer Website verwende. Route53 unterstützt ausdrücklich das Aliasing eines Buckets für diesen Zweck. Ist diese Warnung einfach überflüssig, oder mache ich etwas falsch?


35
2017-12-16 22:44


Ursprung


@MichaelHampton Es wird dies in der S3-Konsole ohne viel zusätzlichen Kontext zeigen. geschäftsinsights.bitdefender.com/... - ceejayoz
Related - Kann AWS in einen privaten Bucket hineinsehen oder muss es öffentlich sein, damit AWS auf Dateien zugreifen kann? - Criggie
@Criggie AWS ist ihr Support-Team? Oder etwas anderes? - ceejayoz
@ceejayoz ja das AWS-Support-Team. - Criggie
Ich würde mir vorstellen, dass sie bei einer bestimmten Unterstützungsebene vielleicht drinnen herumstochern, obwohl S3 Verschlüsselung mit einem Nicht-Amazon-Schlüssel unterstützt. Ihre Prozesse sollten sicherstellen, dass es nicht ohne ausdrückliche Erlaubnis gemacht wird, würde ich denken. - ceejayoz


Antworten:


Ja, wenn Sie wissen, was Sie tun (bearbeiten: und alle sonst mit Zugriff darauf auch ...), können Sie diese Warnung ignorieren.

Es existiert weil auch große Organisationen  Wer es besser wissen sollte, hat versehentlich private Daten in öffentliche Eimer gelegt. Amazon sendet Ihnen auch Heads-Up-E-Mails, wenn Sie zusätzlich zu den Konsolenwarnungen auch weitere Buckets veröffentlichen.

Accenture, Verizon, Viacom, Illinois Wählerinformationen und militärische Informationen wurden alle versehentlich offen für alle offen online aufgrund von IT-Bodys falsch konfiguriert ihre S3-Silos gefunden.

Wenn Sie absolut, 100% sicher sind, dass alles im Eimer öffentlich sein soll und dass niemand versehentlich private Daten hineinlegt - eine statische HTML-Site ist ein gutes Beispiel -, dann lass es auf jeden Fall öffentlich.


51
2017-12-16 22:57



In der Praxis bist du virtuell noch nie 100% sicher, so ist die beste Praxis nicht zu tun. - Shadur
Es war erst vor ein paar Monaten, als entweder das FBI oder die CIA private Daten hinterließ, die auf einem öffentlichen S3 sicher sein sollten. Ich werde sehen, ob ich einen Link zu dem Nachrichtenartikel finden kann. - cgTag
Siehe hier: gizmodo.com ... - cgTag


Das Datenschutzproblem in Ceejayoz 'Antwort ist nicht das einzige Problem.
Das Lesen von Objekten aus einem S3-Bucket hat einen Preis. Sie werden von AWS für jeden Download aus diesem Bucket in Rechnung gestellt. Und wenn Sie viel Verkehr haben (oder wenn jemand, der Ihr Geschäft verletzen will, beginnt, Dateien den ganzen Tag lang stark herunterzuladen), wird es schnell teuer.

Wenn Sie möchten, dass Dateien aus Ihrem Bucket öffentlich zugänglich sind, sollten Sie dies tun Erstellen Sie eine Cloudfront-Verteilung, die auf den S3-Bucket verweist und diesen Zugriff gewährt.

Jetzt können Sie den Domainnamen der Cloudfront-Distribution verwenden, um Ihre Dateien bereitzustellen, ohne der Öffentlichkeit Zugang zu S3 zu gewähren.
In dieser Konfiguration zahlen Sie für die Datennutzung von Cloudfront anstelle von S3. Und bei höheren Volumen ist es viel billiger.


23
2017-12-18 09:38



CloudFlare funktioniert auch und ist wahrscheinlich noch billiger. - chrylis