收到我的AWS賬戶的S3存儲桶安全通知電子郵件？

Question

最近我有我的相關AWS S3桶ACL 一封電子郵件，郵件說：

我們謹此提醒您，一個或多個您的Amazon S3存儲訪問控制列表（ACL）或存儲桶策略當前配置爲允許來自Internet上任何用戶的讀取或寫入訪問。具有此配置的存儲桶列表如下。

默認情況下，S3存儲桶ACL或策略只允許帳戶所有者讀取或寫入存儲桶中的內容;但是，可以配置這些ACL或存儲桶策略以允許全球訪問。雖然有理由配置存儲區以訪問世界，包括公共網站或可公開下載的內容，但最近公開披露的S3存儲區內容無意中被配置爲允許世界讀取或寫入訪問，但不打算公開可用。

我們鼓勵您及時檢查您的S3存儲桶及其內容，以確保您不會無意中將對象提供給您不想要的用戶。可以在AWS管理控制檯（http://console.aws.amazon.com）中或使用AWS CLI工具查看存儲區ACL和策略。允許訪問「所有用戶」或「任何經過身份驗證的AWS用戶」（包括任何AWS賬戶）的ACL實際上授予全球訪問相關內容的權限。

所以，我的問題是我該怎麼做才能克服這個問題？

Answer 1

這是禮貌通知，讓您知道Amazon S3中的內容是公開的。如果這是您希望配置S3存儲桶的方式，則無需採取措施。

如果這是而不是您希望如何配置您的存儲桶，那麼您應該刪除這些權限。 （請參閱大量關於如何執行此操作的在線信息。）

我懷疑許多人只是盲目地從各種在線教程中複製指令，可能沒有意識到其配置的影響。此電子郵件只是讓AWS客戶瞭解其當前配置。

Answer 2

作爲第一個答案，是的，這些郵件就像提醒。你應該做什麼，

• 現貨S3水桶需要被私人
• 檢查他們的桶ACL的。期待公衆訪問&代碼
• 之後，檢查Bucket策略。請記住，桶策略比ACL更有效（例如，ACL可能設置爲拒絕模式，但如果策略處於允許狀態，則每個對象都將爲公共）。
• 有關最佳做法，請檢查此鏈接; https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Best_Practices.pdf [頁的74 28]