AWSがパブリックS3バケットに対して推奨するのはなぜですか?

52

「S3バケットへのパブリックアクセスを一切許可しないことを強くお勧めします。」

Webサイトのホストに使用する1つのバケットに対して、非常にきめ細かいパブリックポリシー(s3:GetObject)を設定しました。Route53は、この目的でバケットのエイリアスを明示的にサポートしています。この警告は単に冗長ですか、それとも何か間違っていますか?

security  amazon-web-services  amazon-s3  amazon-route53 
アンドリュー・ジョンソン
ソース
1
@MichaelHamptonこれは、多くの追加のコンテキストなしで、S3コンソールにこれを表示します。businessinsights.bitdefender.com/...
ceejayoz
関連-AWSはプライベートバケットを確認できますか、またはAWSが内部のファイルにアクセスするためにパブリックにする必要がありますか?
クリギー
@Criggie AWSはサポートチームですか?または、他の何か?
ceejayoz
@ceejayozはい、AWSサポートチーム。
クリギー
S3はAmazon以外のキーを使用した暗号化をサポートしていますが、特定のレベルのサポートで内部を突破することを想像します。彼らのプロセスは、明示的な許可なしにそれが行われないことを保証するべきだと思います。
ceejayoz

回答:

67

はい、あなたが何をしているのかを知っている場合(編集:そしてそれへのアクセス権を持つ他のが...)、この警告は無視できます。

知っておくべき大企業でさえ、誤ってプライベートデータをパブリックバケットに入れてしまったためです。また、コンソール内の警告に加えてバケットを公開した場合、Amazonはヘッズアップメールを送信します。

アクセンチュア、ベライゾン、バイアコム、イリノイ州の有権者情報および軍事情報はすべて、IT部隊がS3サイロを誤って設定したために、すべてのユーザーに不注意で公開されたままであることがわかりました。

絶対に、バケット内のすべてがパブリックであり、誰も誤ってプライベートデータを入れないこと(静的HTMLサイトの良い例)を100%確信してから、ぜひともパブリックのままにしてください。

シージャオズ
ソース
2
実際には、あなたは事実だ決して 100%で一定なので、ベストプラクティスがないことです。
シャドゥール
FBIまたはCIAがパブリックS3で安全であるはずのプライベートデータを残したのはほんの数か月前です。ニュース記事へのリンクが見つかるかどうかを確認します。
Reactgular
ここを参照してください:gizmodo.com/...
Reactgular
いいね、私のウェブサイトとAndroidアプリだけがバケットのオブジェクトにアクセスできるように具体的に許可する方法を教えてもらえますか?基本的に、バケツの中身を他人に盗まれたくない。しかし、私のウェブサイトとアプリはそれらをロードできるはずです。
bad_keypoints
35

ceejayozの回答で取り上げられているプラ​​イバシーの問題だけが問題ではありません。
S3バケットからオブジェクトを読み取るには価格があります。このバケットからのダウンロードごとにAWSから請求されます。トラフィックが多い場合(または、ビジネスを傷つけたい人が1日中ファイルを大量にダウンロードし始める場合)、すぐに高価になります。

バケットのファイルを一般にアクセスできるようにするには、S3バケットを指し、アクセスを許可するCloudfront Distributionを作成する必要があります

これで、Cloudfront Distributionのドメイン名を使用して、パブリックへのS3アクセスを許可せずにファイルを提供できます。
この構成では、S3の代わりにCloudfrontのデータ使用量に対して支払います。そして、ボリュームが大きくなると、ずっと安くなります。

クエンティン・ハヨ
ソース
2
CloudFlareも機能し、さらに安くなる可能性があります。
クリリス
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.