關于限制S3物件訪問的S3安全 -有解無憂

我使用S3來為我的網站儲存靜態檔案。由于我的網站有一個登錄密碼，我想限制對S3上的靜態檔案的訪問。

我成功地設定了訪問權限，如下所示。

{
    "版本": "2012-10-17",
    "Id": "http referer policy example",
    "宣告": [
        {
            "Sid": "允許源自www.example.com 和 example.com的獲取請求。"。
            "效果": "允許"。
            "主體": "*",
            "行動": "s3:GetObject",
            "資源": "arn:aws:s3:::mybucket/*"。
            "條件"。{
                "StringLike": {
                    "aws:Referer": [
                        "https://mywebsite.com/*",
                        "http://127.0.0.1:8000/*"
                    ]
                }
            }
        }
    ]
}

然后，我試圖通過輸入URL來直接訪問圖片。我得到了這樣的結果（請看附件）。

我的問題。您認為從安全角度來看，暴露 RequestID 和 HostID 是否安全？

XML 影像。這就是我得到的東西

uj5u.com熱心網友回復：

請求ID和主機ID是Amazon S3中的識別符號，可用于除錯和支持目的。在S3中暴露這些資訊并沒有什么壞處，而且你無法阻止這些資訊的出現。
另外，請注意，使用aws:referer是一種相當不安全的方法保護您的內容，因為它在向S3發出請求時很容易被欺騙（偽造）。
如果你希望保護Amazon S3中的有價值的/機密的資訊，那么你應該：

您應該
將S3中的所有內容保持為私有（無桶策略）
。
用戶對您的后端應用程式進行認證
。
當用戶想要訪問S3中的一些私有內容時，您的后端應用程式會檢查他們是否有權訪問該內容。如果是這樣，后端將生成一個Amazon S3 預簽名的 URL，這是一個有時間限制的 URL，可提供對私有物件的臨時訪問。
這可以作為一個直接鏈接提供，或包含在一個HTML頁面中（例如<img src="...">）
。
當S3收到預簽名的URL時，它驗證簽名并檢查過期時間。如果它們是有效的，它就會從S3桶中回傳私有物件。
這樣，您可以使用S3來提供靜態內容，但您的應用程式可以完全控制誰被允許訪問這些內容。它不能像referer那樣被偽造，因為每個請求都用秘鑰的哈希值簽名。

轉載請註明出處，本文鏈接：https://www.uj5u.com/qiye/325336.html
標籤：

上一篇：使用`awsecsrun-task`和`awsecsexecute-command`在Docker鏡像中使用亞馬遜ECS的互動式外殼
下一篇：將ECS服務翻譯成云計算formation