AWS सार्वजनिक S3 बाल्टी के खिलाफ सिफारिश क्यों करता है?

52

"हम अत्यधिक अनुशंसा करते हैं कि आप कभी भी अपने S3 बाल्टी को किसी भी प्रकार की सार्वजनिक पहुंच प्रदान न करें।"

मैंने एक बाल्टी के लिए एक बहुत ही दानेदार सार्वजनिक नीति (s3: GetObject) निर्धारित की है जिसका उपयोग मैं एक वेबसाइट को होस्ट करने के लिए करता हूं। मार्ग 53 स्पष्ट रूप से इस उद्देश्य के लिए एक बाल्टी का समर्थन करता है। क्या यह चेतावनी सिर्फ बेमानी है, या मैं कुछ गलत कर रहा हूं?

security  amazon-web-services  amazon-s3  amazon-route53 
एंड्रयू जॉनसन
स्रोत
1
@Michael Hampton यह S3 कंसोल में, बिना किसी अतिरिक्त संदर्भ के दिखाएगा। businessinsights.bitdefender.com/…
ceejayoz
संबंधित - क्या AWS एक निजी बाल्टी में देख सकता है या क्या AWS के लिए सार्वजनिक रूप से फ़ाइलों को एक्सेस करना आवश्यक है?
क्रैगी
@Criggie AWS उनकी सहयोगी टीम है? या कुछ और?
सिजॉयज
@ceejayoz ने AWS सपोर्ट टीम का हाँ किया।
क्रिगी
मुझे लगता है कि समर्थन के एक निश्चित स्तर पर वे अंदर ही अंदर प्रहार कर सकते हैं, हालांकि S3 एक गैर-अमेज़ॅन कुंजी के साथ एन्क्रिप्शन का समर्थन करता है। उनकी प्रक्रियाओं को यह सुनिश्चित करना चाहिए कि यह स्पष्ट अनुमति के बिना नहीं हुआ है, मुझे लगता है।
ceejayoz

जवाबों:

67

हां, यदि आप जानते हैं कि आप क्या कर रहे हैं ( संपादित करें: और बाकी सब तक पहुँच के साथ, यह भी ...), तो आप इस चेतावनी को अनदेखा कर सकते हैं।

यह मौजूद है क्योंकि यहां तक ​​कि बड़े संगठनों को जो बेहतर जानना चाहिए, उन्होंने गलती से निजी डेटा को सार्वजनिक बाल्टियों में रखा है। यदि आप इन-कंसोल चेतावनियों के अलावा बाल्टी को सार्वजनिक छोड़ते हैं, तो अमेज़न आपको हेड-अप ईमेल भी भेजेगा।

एक्सेंचर, वेराइजन, वायकॉम, इलिनोइस मतदाता जानकारी और सैन्य जानकारी सभी अनजाने में पाया गया है जो आईटी Sod silosfuring उनके S3 साइलो के कारण सभी के लिए ऑनलाइन खुला छोड़ दिया गया है।

यदि आप बिल्कुल सही हैं, तो 100% निश्चित है कि बाल्टी में सब कुछ सार्वजनिक होना चाहिए और किसी ने गलती से इसमें निजी डेटा नहीं डाला है - एक स्थिर HTML साइट एक अच्छा उदाहरण है - फिर सभी तरीकों से, इसे सार्वजनिक छोड़ दें।

ceejayoz
स्रोत
2
अभ्यास में, आप वास्तव में कर रहे हैं कभी नहीं 100% निश्चित है, इसलिए सबसे अच्छा अभ्यास नहीं करना है।
शादुर
यह कुछ महीने पहले ही था जहां एफबीआई या सीआईए ने निजी डेटा को छोड़ दिया था जो कि सार्वजनिक S3 पर सुरक्षित होना चाहिए था। मैं देखूंगा कि क्या मुझे समाचार लेख का लिंक मिल सकता है।
रिएक्टगुलर
यहाँ देखें: gizmodo.com/…
Reactgular
अच्छा साहब, क्या आप मुझे गाइड कर सकते हैं कि मैं विशेष रूप से केवल अपनी वेबसाइट और एंड्रॉइड ऐप को मेरी बाल्टी की वस्तुओं तक पहुंचने में सक्षम होने की अनुमति कैसे दूं? मूल रूप से मैं नहीं चाहता कि लोग मेरी बाल्टी सामग्री को खुरचें। लेकिन मेरी वेबसाइट और ऐप उन्हें लोड करने में सक्षम होना चाहिए।
bad_keypoint
35

Ceejayoz के जवाब में छपी गोपनीयता समस्या एकमात्र समस्या नहीं है।
S3 बाल्टी से वस्तुओं को पढ़ना एक मूल्य है। आपको इस बकेट से प्रत्येक डाउनलोड के लिए AWS द्वारा बिल दिया जाएगा। और यदि आपके पास बहुत अधिक ट्रैफ़िक है (या यदि कोई व्यक्ति जो आपके व्यवसाय को नुकसान पहुंचाना चाहता है, तो दिन भर फ़ाइलों को डाउनलोड करना शुरू कर देता है) तो यह जल्दी महंगा हो जाएगा।

यदि आप चाहते हैं कि आपकी बाल्टी से फाइलें सार्वजनिक रूप से पहुंच योग्य हों, तो आपको एक क्लाउडफ्रंट वितरण बनाना चाहिए जो S3 बाल्टी तक पहुंचने और पहुंचने की ओर इशारा करता है

अब, आप किसी भी S3 को जनता तक पहुँच प्रदान किए बिना अपनी फ़ाइलों की सेवा के लिए Cloudfront वितरण के डोमेन नाम का उपयोग कर सकते हैं।
इस कॉन्फ़िगरेशन में, आप S3 के बजाय क्लाउडफ्रंट के डेटा उपयोग के लिए भुगतान करते हैं। और अधिक मात्रा में यह बहुत सस्ता है।

क्वेंटिन हयात
स्रोत
2
CloudFlare भी काम करता है, और अभी भी सस्ता होने की संभावना है।
क्राइसिस -ऑन स्ट्राइक-
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.