我對 S3 存盤桶策略設定非常困惑。
在這里您可以選擇阻止所有公共訪問。
但是,如果您取消選擇這些選項,為了讓公眾訪問存盤桶和物件,您仍然需要在“存盤桶策略”部分編輯/添加策略:
您需要將上述策略編輯為以下內容:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PublicReadGetObject",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::myapp/*"
},
{
"Sid": "2",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity 111111111"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::myapp/*"
}
]
}
如果未指定"Effect": "Allow", "Principal": "*",,則默認策略為“阻止”。
那么,如果默認情況下已經阻止了公共訪問,為什么我們需要“阻止公共訪問”部分?
uj5u.com熱心網友回復:
阻止公共訪問功能是對存盤桶的另一層保護。默認情況下,Amazon S3 存盤桶和物件是私有的并受到保護,可以選擇使用訪問控制串列 (ACL) 和存盤桶策略來授予對其他 AWS 賬戶或公共(匿名)請求的訪問權限。
在 Block Public Access 功能發布之前,由于配置錯誤,經常會看到更多的資料泄漏和資料泄露以存盤在 S3 上的資料為中心。這不是亞馬遜的錯,是公司的錯。
所以,如果你想讓一個存盤桶或物件可以公開訪問,首先你需要禁用這個額外的安全層(禁用它并不意味著存盤桶或物件是公開的,只是意味著你可以將它們設為公開)然后使它們通過 ACL、存盤桶策略等公開。
參考:
Amazon S3 阻止公共訪問——為您的賬戶和存盤桶提供另一層保護
轉載請註明出處,本文鏈接:https://www.uj5u.com/gongcheng/403114.html
標籤:
上一篇:如何防止S3托管的網站被窺視
下一篇:洗掉S3過時的生命周期規則