几乎一个星期过去了,我们没有风闻一个组织将敏感数据袒露在互联网上,因为他们未能正确配置他们的Amazon S3存储桶。
值得称颂的是,亚马逊网络处事公司正在努力防备这种情况产生。
例如,所有新创建的S3存储桶和东西(存储桶中的文件和目录)默认为私有,即随机人员无法通过Internet果然访谒。其次,本年早些时候实施的变动使客户可以轻松识别由于访谒控制列表(ACL)或允许任何用户进行读/写访谒的计谋而可果然访谒的S3存储桶:
但即使这还不够,所以该公司正在推出一项新的安适成果:Amazon S3 Block Public Access。
此新成果允许帐户所有者/打点员集中阻止现有的大众访谒(无论是通过ACL还是计谋实现),并确保新创建的项目不会无意中被授予大众访谒权限。
该成果允许四个新选项:
它们允许帐户用户防备将来测验考试使用ACL来使桶或东西果然,笼罩存储桶中当前和未来东西确当前或未来大众访谒设置,禁止使用新的大众存储桶计谋,以及限制访谒向桶所有者和AWS处事果然访谒存储桶。
可以将选项配置为影响整个帐户或选定的存储桶。在桶级别设置的选项不能笼罩帐户级别设置。
“如果AWS账户被用来托管数据湖或其他商业应用措施,阻止大众访谒将成为防备不测果然曝光的帐户级防止,”AWS首席布道师Jeff Barr 解释说。
可以从S3控制台,命令行界面,S3 API以及CloudFormation模板中访谒该成果。