Mengapa AWS merekomendasikan terhadap bucket S3 publik?

52

"Kami sangat menyarankan agar Anda tidak pernah memberikan segala jenis akses publik ke bucket S3 Anda."

Saya telah menetapkan kebijakan publik yang sangat terperinci (s3: GetObject) untuk satu ember yang saya gunakan untuk meng-host situs web. Route53 secara eksplisit mendukung aliasing bucket untuk tujuan ini. Apakah peringatan ini hanya berlebihan, atau apakah saya melakukan sesuatu yang salah?

security amazon-web-services amazon-s3 amazon-route53 Andrew Johnson
sumber
1
@MichaelHampton Ini akan menunjukkan ini di konsol S3, tanpa banyak konteks tambahan. businessinsights.bitdefender.com/…
ceejayoz
Terkait - dapatkah AWS melihat ke dalam ember pribadi atau apakah harus publik untuk AWS untuk mengakses file di dalam?
Criggie
@Criggie AWS menjadi tim pendukung mereka? Atau sesuatu yang lain?
ceejayoz
@ceejayoz ya tim pendukung AWS.
Criggie
Saya membayangkan pada tingkat dukungan tertentu yang mungkin mereka cari di dalamnya, meskipun S3 mendukung enkripsi dengan kunci non-Amazon. Proses mereka harus memastikan itu tidak dilakukan tanpa izin eksplisit, saya pikir.
ceejayoz

Jawaban:

67

Ya, jika Anda tahu apa yang Anda lakukan ( edit: dan semua orang yang memiliki akses juga melakukannya ...), Anda dapat mengabaikan peringatan ini.

Itu ada karena bahkan organisasi besar yang seharusnya tahu lebih baik telah secara tidak sengaja memasukkan data pribadi ke dalam ember publik. Amazon juga akan mengirimi Anda email kepala-jika Anda meninggalkan ember untuk publik di samping peringatan dalam konsol.

Accenture, Verizon, Viacom, Illinois informasi pemilih dan informasi militer semuanya telah ditemukan secara tidak sengaja dibiarkan terbuka untuk semua orang secara online karena badan-badan TI yang salah mengkonfigurasi silo S3 mereka.

Jika Anda benar-benar, 100% yakin bahwa segala sesuatu di dalam ember harus bersifat publik dan bahwa tidak seorang pun akan secara tidak sengaja memasukkan data pribadi ke dalamnya - situs HTML statis adalah contoh yang baik - maka dengan segala cara, biarkan tetap publik.

ceejayoz
sumber
2
Dalam praktiknya, Anda hampir tidak pernah 100% pasti, jadi praktik terbaik adalah jangan melakukannya.
Shadur
Itu hanya beberapa bulan yang lalu di mana FBI atau CIA meninggalkan data pribadi yang seharusnya aman di S3 publik. Saya akan melihat apakah saya dapat menemukan tautan ke artikel berita.
Reactgular
Lihat di sini: gizmodo.com/...
Reactgular
Bapak yang baik, dapatkah Anda memandu saya bagaimana secara khusus mengizinkan hanya situs web dan aplikasi Android saya untuk dapat mengakses objek bucket saya? Pada dasarnya saya tidak ingin orang-orang menggores isi ember saya. Tetapi situs web dan aplikasi saya harus dapat memuatnya.
bad_keypoints
35

Masalah privasi yang ditampilkan dalam jawaban ceejayoz bukan satu-satunya masalah.
Membaca objek dari ember S3 memiliki harga. Anda akan ditagih oleh AWS untuk setiap unduhan dari bucket ini. Dan jika Anda memiliki banyak lalu lintas (atau jika seseorang yang ingin menyakiti bisnis Anda mulai mengunduh banyak file sepanjang hari) itu dengan cepat akan menjadi mahal.

Jika Anda ingin file dari bucket Anda dapat diakses oleh publik, Anda harus membuat Distribusi Cloudfront yang mengarah ke dan diberikan akses ke bucket S3 .

Sekarang, Anda dapat menggunakan nama domain Distribusi Cloudfront untuk melayani file Anda tanpa memberikan akses S3 apa pun kepada publik.
Dalam konfigurasi ini, Anda membayar untuk penggunaan data Cloudfront daripada S3. Dan pada volume yang lebih tinggi jauh lebih murah.

Quentin Hayot
sumber
2
CloudFlare juga berfungsi, dan kemungkinan masih lebih murah.
chrylis -on strike-