„Zdecydowanie zalecamy, aby nigdy nie udzielać publicznego dostępu do segmentu S3”.
Ustawiłem bardzo szczegółową politykę publiczną (s3: GetObject) dla jednego segmentu, którego używam do hostowania strony internetowej. Route53 wyraźnie obsługuje aliasing segmentu w tym celu. Czy to ostrzeżenie jest po prostu zbędne, czy robię coś złego?
security
amazon-web-services
amazon-s3
amazon-route53
Andrew Johnson
źródło
źródło
Odpowiedzi:
Tak, jeśli wiesz, co robisz ( edytuj: i wszyscy inni, którzy mają do tego dostęp, też ...), możesz zignorować to ostrzeżenie.
Istnieje, ponieważ nawet duże organizacje, które powinny wiedzieć lepiej, przypadkowo umieściły prywatne dane w publicznych wiaderkach. Amazon wyśle ci również wiadomości e-mail, jeśli pozostawisz wiadra publicznie oprócz ostrzeżeń w konsoli.
Jeśli masz absolutną pewność, 100% pewności, że wszystko w tym segmencie powinno być publiczne i że nikt nie przypadkowo umieści w nim prywatne dane - statyczna strona HTML jest dobrym przykładem - to na wszelki wypadek pozostaw to publiczne.
źródło
Kwestia prywatności przedstawiona w odpowiedzi ceejayoz nie jest jedynym problemem.
Czytanie obiektów z wiadra S3 ma swoją cenę. Opłata zostanie pobrana przez AWS za każde pobranie z tego segmentu. A jeśli masz duży ruch (lub jeśli ktoś, kto chce zaszkodzić Twojej firmie, zacznie intensywnie pobierać pliki przez cały dzień), szybko stanie się drogi.
Jeśli chcesz, aby pliki z segmentu były publicznie dostępne, należy utworzyć dystrybucję Cloudfront, która wskazuje i ma dostęp do segmentu S3 .
Teraz możesz używać nazwy domeny Cloudfront Distribution do udostępniania plików bez udzielania publicznego dostępu do S3.
W tej konfiguracji płacisz za wykorzystanie danych przez Cloudfront zamiast S3. Przy wyższych wolumenach jest o wiele tańszy.
źródło