详细内容或原文请订阅后点击阅览
AWS值得信赖的顾问缺陷允许公共S3存储牌
AWS值得信赖的顾问工具,如果客户公开暴露了(云)S3储物桶,它应该警告客户,可以“欺骗”以将其报告为在实际情况下不暴露的情况。 S3 access protection mechanisms Amazon S3 provides several mechanisms for granting access to storage buckets: IAM users, roles, and policies: Users define who can access their S3 resources using fine-grained permissions Bucket policies: Users define who can access … More →The post AWS Trusted Advisor flaw allowed public S3 buckets to go unflagged appeared first on Help Net Security.
来源:Help Net Security _云安全AWS值得信赖的顾问工具,如果客户公开暴露了(云)S3储物桶,它应该警告客户,可以“欺骗”以将其报告为在实际情况下不暴露的情况。
S3访问保护机制
Amazon S3提供了授予储物存储桶访问的几种机制:
- iam用户,角色和策略:用户定义谁可以使用细粒度的PermissionsBucket策略访问其S3资源:用户定义谁可以通过直接附加到BucketAccess Control列表(ACLS)的JSON策略(ACLS)的JSON策略来访问S3存储桶:一种旧的遗产方法:AWS希望在使用Bucket Policies
(AWS还提供了“块公共访问”功能,其设置可以覆盖ACL和存储措施政策以停止意外的公共访问。默认情况下,所有新的S3存储桶都阻止了所有公共访问权限,但是当某些用户将S3存储桶旨在服务公共内容时,请禁止Block Public Access。)
“阻止公共访问” 默认情况下(MIS)值得信赖的顾问
FOG安全研究人员最近发现,通过调整某些存储桶政策,S3存储桶和内部潜在的敏感数据,可以在Internet上的任何人访问,而无需信任的顾问告诉用户有关这种状况的情况。
发现可信赖的顾问可以愚弄:
- 设定S3存储牌策略或ACL,以允许公开授予任何拒绝的政策,以阻止受信任的顾问检查存储桶的状态。具体:拒绝S3:getBucketPolicyStatusdeny S3:GetBucketPublicAccessBlockdeny S3:getBucketacl