"Nous vous recommandons vivement de ne jamais accorder un quelconque accès public à votre seau S3".
J'ai défini une politique publique très granulaire (s3:GetObject) pour un seau que j'utilise pour héberger un site web. Route53 supporte explicitement l'aliasing d'un bucket dans ce but. Cet avertissement est-il simplement redondant, ou est-ce que je fais quelque chose de mal ?
Oui, si vous savez ce que vous faites ( éditer : et tout le monde sinon qui y a accès le fait aussi...), vous pouvez ignorer cet avertissement.
Elle existe parce que même les grandes organisations qui devraient être mieux informés ont accidentellement placé des données privées dans des dossiers publics. Amazon vous enverra également des courriels d'avertissement si vous laissez des répertoires publics, en plus des avertissements sur la console.
Accenture, Verizon, Viacom, les informations sur les électeurs de l'Illinois et les informations militaires ont toutes été laissées ouvertes par inadvertance à tout le monde en ligne en raison de la mauvaise configuration des silos S3 par les informaticiens.
Si vous êtes absolument, 100% certain que tout ce qui se trouve dans le seau doit être public. et que personne n'y mettra accidentellement des données privées - un site HTML statique en est un bon exemple - alors n'hésitez pas à le laisser public.
En pratique, vous êtes pratiquement jamais 100% certain, donc la meilleure pratique est de ne pas le faire.
Il y a quelques mois à peine, le FBI ou la CIA ont laissé des données privées censées être sécurisées sur un S3 public. Je vais voir si je peux trouver un lien vers l'article de presse.
La question du respect de la vie privée a été abordée dans La réponse de ceejayoz n'est pas le seul problème.
La lecture d'objets à partir d'un seau S3 a un prix. Vous serez facturé par AWS pour chaque téléchargement à partir de ce seau. Et si vous avez beaucoup de trafic (ou si quelqu'un qui veut nuire à votre entreprise commence à télécharger massivement des fichiers toute la journée), cela deviendra rapidement coûteux.
Si vous voulez que les fichiers de votre seau soient accessibles au public, vous devez créer une distribution Cloudfront qui pointe vers le seau S3 et à qui l'on accorde l'accès à ce dernier .
Maintenant, vous pouvez utiliser le nom de domaine de la distribution Cloudfront pour servir vos fichiers sans accorder un accès S3 au public.
Dans cette configuration, vous payez pour l'utilisation des données de Cloudfront au lieu de celles de S3. Et à des volumes plus élevés, c'est beaucoup moins cher.
"vous payez pour l'utilisation des données de Cloudfront au lieu de celles de S3. Et à des volumes plus élevés, c'est beaucoup moins cher". -- ÉNORME mise en garde ici est que la tarification des requêtes sur CloudFront est considérablement plus chère que celle de S3, de sorte que l'attaquant pourrait simplement envoyer des tonnes de requêtes (et même les annuler, pour ne pas avoir à recevoir réellement les données et ne pas avoir besoin de beaucoup de bande passante eux-mêmes).
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
1 votes
@MichaelHampton Il l'affichera dans la console S3, sans beaucoup de contexte supplémentaire. businessinsights.bitdefender.com/
0 votes
Dans le même ordre d'idées, AWS peut-il voir dans un seau privé ou doit-il être public pour qu'AWS puisse accéder aux fichiers qu'il contient ?
0 votes
@Criggie AWS étant leur équipe de soutien ? Ou quelque chose d'autre ?
0 votes
@ceejayoz oui l'équipe de support AWS.
0 votes
J'imagine qu'à partir d'un certain niveau de support, ils peuvent s'immiscer à l'intérieur, bien que S3 supporte le cryptage avec une clé non-Amazon. Leurs processus devraient garantir que cela n'est pas fait sans permission explicite, je pense.