เหตุใด AWS จึงแนะนำให้ใช้กับถังเก็บ S3 สาธารณะ

52

"เราขอแนะนำอย่างยิ่งให้คุณไม่อนุญาตให้บุคคลทั่วไปเข้าถึง S3 กลุ่มของคุณ"

ฉันได้ตั้งนโยบายสาธารณะที่ละเอียดมาก (s3: GetObject) สำหรับที่เก็บข้อมูลหนึ่งที่ฉันใช้เพื่อโฮสต์เว็บไซต์ Route53 รองรับนามแฝง bucket อย่างชัดเจนเพื่อวัตถุประสงค์นี้ คำเตือนนี้ซ้ำซ้อนหรือฉันกำลังทำอะไรผิดหรือเปล่า?

security  amazon-web-services  amazon-s3  amazon-route53 
Andrew Johnson
แหล่งที่มา
1
@MichaelHampton มันจะแสดงสิ่งนี้ในคอนโซล S3 โดยไม่มีบริบทเพิ่มเติม businessinsights.bitdefender.com/…
ceejayoz
ที่เกี่ยวข้อง - AWS สามารถดูในที่เก็บข้อมูลส่วนตัวหรือต้องเปิดเผยให้ AWS เข้าถึงไฟล์ภายในได้หรือไม่
Criggie
@Criggie AWS เป็นทีมสนับสนุนของพวกเขาหรือไม่ หรืออย่างอื่น?
ceejayoz
@ceejayoz ใช่ทีมสนับสนุนของ AWS
Criggie
ฉันนึกภาพในระดับหนึ่งของการสนับสนุนที่พวกเขาอาจเจาะเข้าไปภายในแม้ว่า S3 รองรับการเข้ารหัสด้วยคีย์ที่ไม่ใช่อเมซอน กระบวนการของพวกเขาควรตรวจสอบให้แน่ใจว่าไม่ได้ทำโดยไม่ได้รับอนุญาตอย่างชัดเจนฉันคิดว่า
ceejayoz

คำตอบ:

67

ใช่ถ้าคุณรู้ว่าสิ่งที่คุณทำ ( แก้ไข:และทุกคนอื่นที่มีการเข้าถึงมันไม่มากเกินไป ... ), คุณสามารถละเว้นคำเตือนนี้

มีอยู่เพราะแม้แต่องค์กรขนาดใหญ่ ที่ควรรู้ดีกว่าได้วางข้อมูลส่วนตัวลงในที่เก็บข้อมูลสาธารณะโดยไม่ตั้งใจ อเมซอนจะส่งอีเมลถึงคุณด้วยหากคุณปล่อยให้ถังเก็บข้อมูลสาธารณะเพิ่มเติมจากคำเตือนในคอนโซล

Accenture, Verizon, Viacom, Illinois ข้อมูลผู้มีสิทธิเลือกตั้งและข้อมูลทางทหารถูกค้นพบโดยไม่ได้ตั้งใจเปิดให้ทุกคนออนไลน์เนื่องจากผู้ดูแลระบบไอทีกำหนดค่าไซโล S3 ของตนไม่ถูกต้อง

ถ้าคุณเป็นอย่างนั้นแน่นอน 100% ว่าทุกอย่างในถังควรเป็นที่สาธารณะและไม่มีใครที่จะใส่ข้อมูลส่วนตัวโดยบังเอิญ - เว็บไซต์ HTML คงที่เป็นตัวอย่างที่ดี - จากนั้นก็ปล่อยให้เป็นสาธารณะ

ceejayoz
แหล่งที่มา
2
ในทางปฏิบัติคุณแทบไม่แน่ใจ 100% ดังนั้นแนวทางปฏิบัติที่ดีที่สุดคือ
Shadur
เมื่อไม่กี่เดือนที่ผ่านมาที่ทั้ง FBI หรือ CIA ออกจากข้อมูลส่วนตัวที่ควรจะปลอดภัยใน S3 สาธารณะ ฉันจะดูว่าฉันสามารถหาลิงค์ไปยังบทความข่าว
Reactgular
ดูที่นี่: gizmodo.com/…
Reactgular
คุณพ่อช่วยแนะนำวิธีการอนุญาตเฉพาะเว็บไซต์และแอพ Android ของฉันเพื่อให้สามารถเข้าถึงวัตถุของที่เก็บข้อมูลของฉันได้หรือไม่? โดยทั่วไปฉันไม่ต้องการให้คนขูดเนื้อหาในถังของฉัน แต่เว็บไซต์และแอพของฉันควรสามารถโหลดได้
bad_keypoints
35

ปัญหาความเป็นส่วนตัวที่ปรากฏในคำตอบของ ceejayozไม่ใช่ปัญหาเดียว
การอ่านวัตถุจากที่เก็บข้อมูล S3 มีราคา คุณจะถูกเรียกเก็บเงินโดย AWS สำหรับการดาวน์โหลดแต่ละครั้งจากที่เก็บข้อมูลนี้ และถ้าคุณมีการรับส่งข้อมูลจำนวนมาก (หรือถ้าใครบางคนที่ต้องการทำร้ายธุรกิจของคุณเริ่มที่จะดาวน์โหลดไฟล์อย่างหนักทั้งวัน) มันจะกลายเป็นค่าใช้จ่ายที่รวดเร็ว

หากคุณต้องการไฟล์จากถังของคุณเพื่อให้สาธารณชนสามารถเข้าถึงคุณควรสร้างการกระจาย CloudFront ที่ชี้ไปและจะได้รับการเข้าถึงถัง

ตอนนี้คุณสามารถใช้ชื่อโดเมนของ Cloudfront Distribution เพื่อให้บริการไฟล์ของคุณโดยไม่ต้องให้สิทธิ์การเข้าถึง S3 กับสาธารณชน
ในการกำหนดค่านี้คุณต้องชำระเงินสำหรับการใช้ข้อมูลของ Cloudfront แทน S3 และในปริมาณที่สูงกว่าก็มีราคาถูกกว่ามาก

เคว็นตินฮายอต
แหล่งที่มา
2
CloudFlare ยังใช้งานได้และมีแนวโน้มที่จะยังคงถูกกว่า
chrylis -on strike-
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.