收到我的 AWS 账户的 S3 存储桶安全通知电子邮件？

Posted 2023-03-22

【中文标题】收到我的 AWS 账户的 S3 存储桶安全通知电子邮件？

【英文标题】：Received S3 bucket security notification email for my AWS account?

【发布时间】：2018-01-14 17:05:48

【问题描述】：

最近我收到一封与我的 AWS S3 存储桶 ACL 相关的电子邮件 并且电子邮件说：

我们写信提醒您，您的一个或多个 Amazon S3 存储桶访问控制列表 (ACL) 或存储桶策略当前配置为允许 Internet 上的任何用户进行读取或写入访问。具有此配置的存储桶列表如下。

默认情况下，S3 存储桶 ACL 或策略仅允许账户所有者从存储桶读取或写入内容；但是，可以将这些 ACL 或存储桶策略配置为允许全局访问。虽然有理由配置具有全球访问权限的存储桶，包括公共网站或可公开下载的内容，但最近有公开披露 S3 存储桶内容被无意配置为允许全球读取或写入访问，但并不打算公开。

我们鼓励您及时检查您的 S3 存储桶及其内容，以确保您不会无意中将对象提供给您不希望的用户使用。可以在 AWS 管理控制台 (http://console.aws.amazon.com) 中或使用 AWS CLI 工具查看存储桶 ACL 和策略。允许访问“所有用户”或“任何经过身份验证的 AWS 用户”（包括任何 AWS 账户）的 ACL 有效地授予世界访问相关内容的权限。

那么，我的问题是我应该怎么做才能克服这个问题？

【问题讨论】：

“我应该怎么做”在您的问题中得到了回答：“立即检查您的 S3 存储桶及其内容，以确保您不会无意中将对象提供给您不希望的用户使用." 任何允许“所有”用户访问的存储桶都是您公开公开的存储桶。如果内容不应该公开，请撤消该操作。目前尚不清楚您需要帮助解决什么问题。

【参考方案1】：

作为第一个答案，是的，这些邮件就像提醒一样。你应该怎么做；

找出需要私有的 S3 存储桶 检查他们的存储桶 ACL。查看公开访问和列表 然后检查存储桶策略。请记住，存储桶策略比 ACL 更有效（例如，ACL 可能设置为 DENY 模式，但如果策略为 ALLOW，则每个对象都将是 Public） 有关最佳实践，请查看此链接； https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Best_Practices.pdf [第 28 页，共 74 页]

【参考方案2】：

这是一个礼貌通知，让您知道 Amazon S3 中的内容是公开的。如果这是您希望 S3 存储桶配置的方式，则无需采取行动。

如果这不是您希望存储桶的配置方式，那么您应该删除这些权限。 （请参阅有关如何执行此操作的大量在线信息。）

我怀疑很多人只是盲目地从各种在线教程中复制说明，可能没有意识到他们的配置的影响。这封电子邮件只是让 AWS 客户了解他们当前的配置。