收到我的AWS账户的S3存储桶安全通知电子邮件?

最近,我收到了一封与我的AWS S3存储桶ACL相关的电子邮件,并且该电子邮件显示:

谨在此提醒您,您的一个或多个Amazon S3存储桶访问控制列表(ACL)或存储桶策略当前已配置为允许来自Internet上任何用户的读取或写入访问权限。 具有此配置的存储桶列表如下。

默认情况下,S3存储桶ACL或策略只允许帐户所有者读取或写入存储桶中的内容; 但是,可以配置这些ACL或存储桶策略以允许全球访问。 虽然有理由配置存储区以访问世界,包括公共网站或可公开下载的内容,但最近公开披露的S3存储区内容无意中被配置为允许世界读取或写入访问,但不打算公开可用。

我们鼓励您及时查看您的S3存储桶及其内容,以确保您不会无意中将对象提供给您不想要的东西。 存储区ACL和策略可以在AWS管理控制台(http://console.aws.amazon.com)中查看,也可以使用AWS CLI工具查看。 允许访问“所有用户”或“任何经过身份验证的AWS用户”(包括任何AWS账户)的ACL实际上授予全球访问相关内容的权限。

所以,我的问题是我该怎么做才能克服这个问题?


作为第一个答案,是的,这些邮件就像提醒。 你应该做什么,

  • 发现需要保密的S3存储桶
  • 检查他们的Bucket ACL。 期待公共访问和列表
  • 之后检查Bucket策略。 请记住,桶策略比ACL更有效(例如,ACL可能设置为拒绝模式,但如果策略处于允许状态,则每个对象都将为公共)
  • 有关最佳实践,请查看此链接; https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Best_Practices.pdf [第28页,共74页]

  • 这是一封礼节性通知 ,让您知道Amazon S3中的内容是公开的。 如果这是您希望配置S3存储桶的方式,则无需采取措施。

    如果这不是您希望您的存储桶配置的方式,那么您应该删除这些权限。 (请参阅有关如何执行此操作的大量在线信息。)

    我怀疑许多人只是盲目地从各种在线教程中复制指令,可能没有意识到他们配置的影响。 此电子邮件只是让AWS客户了解其当前配置。

    链接地址: http://www.djcxy.com/p/70219.html

    上一篇: Received S3 bucket security notification email for my AWS account?

    下一篇: s3 static hosting display a list of the folder contents instead of index.html