最近我收到了一封与我的AWS S3存储桶ACL相关的电子邮件,电子邮件说:
我们写信是为了提醒您,当前配置了一个或多个Amazon S3存储桶访问控制列表(ACL)或存储桶策略,以允许来自Internet上任何用户的读取或写入访问 . 具有此配置的存储桶列表如下所示 . 默认情况下,S3存储桶ACL或策略仅允许帐户所有者从存储桶读取或写入内容;但是,可以将这些ACL或存储桶策略配置为允许全局访问 . 虽然有理由配置具有世界访问权限的存储桶,包括公共网站或可公开下载的内容,但最近公开披露了S3存储桶内容,这些内容无意中被配置为允许全局读取或写入访问但不打算公开可用 . 我们建议您及时查看您的S3存储桶及其内容,以确保您不会无意中将对象提供给您不想要的用户 . 可以在AWS管理控制台(http://console.aws.amazon.com)中或使用AWS CLI工具查看存储桶ACL和策略 . 允许访问“所有用户”或“任何经过身份验证的AWS用户”(包括任何AWS账户)的ACL实际上授予对相关内容的全局访问权限 .
所以,我的问题是我应该怎么做才能克服这个问题?
2 回答
作为第一个答案,是的,这些邮件就像提醒一样 . 你应该怎么做;
找到需要私有的S3存储桶
检查他们的Bucket ACL . 查看公共访问和列表
之后检查Bucket策略 . 请记住,Bucket策略比ACL更有效(例如,ACL可能设置为DENY模式,但如果策略是ALLOW,则每个对象都是Public)
有关最佳做法,请查看此链接; https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Best_Practices.pdf [第28页,共74页]
这是一个 courtesy notice ,让您知道Amazon S3中的内容是公开的 . 如果您希望配置S3存储桶,则无需采取任何措施 .
如果您不希望如何配置存储桶,则应删除这些权限 . (查看有关如何执行此操作的大量在线信息 . )
我怀疑很多人只是盲目地复制各种在线教程中的指令,可能没有意识到他们配置的影响 . 此电子邮件只是让AWS客户了解他们当前的配置 .