s3 のパブリック ファイルは、誰かのウォレットへのオープン ボールトですか?
監視および対応するためのスクリプトと外部ツールをいくつか見てきました。現在、AWS リソースの消費を制限するためのより良い方法があるかどうかを知りたいです。
質問する
863 次
3 に答える
4
CloudWatch(AWS内部モニターツール)を使用して、制限に達した場合の通知を設定できます。このような通知を受け取ったら、このバケット/ファイルへのアクセスを制限できます。
サーバーアクセスログを簡単に設定でき(ドキュメントを確認)、攻撃されているかどうか、誰から攻撃されているかを確認できます。例えば:
$ ./s3curl.pl --id YOUR_AWS_ACCESS_KEY_ID --key YOUR_AWS_SECRET_ACCESS_KEY -- -s -v 'https://s3.amazonaws.com/mybucket?logging' > mybucket.logging
定義できる一連の制限があります。IP範囲に基づいて、または紹介によっても制限できます(紹介されたサイトが自分のサイトである場合にのみ、画像のダウンロードを許可します)。例えば:
{
"Version":"2008-10-17",
"Id":"http referrer policy example",
"Statement":[
{
"Sid":"Allow get requests referred by www.mysite.com and mysite.com",
"Effect":"Allow",
"Principal":"*",
"Action":"s3:GetObject",
"Resource":"arn:aws:s3:::example-bucket/*",
"Condition":{
"StringLike":{
"aws:Referer":[
" http://www.mysite.com/*",
" http://mysite.com/*"
]
}
}
}
]
}
とにかく、1回のハッカー攻撃の価格はかなり低いです。S3の料金は、GBあたり0.12ドル、10,000GETリクエストあたり0.01ドルです。かなりの請求書を受け取るには、多大な労力と何百万ものリクエストが必要になります。
バケットを保護する前に、上記の通知を設定し、バケットへのアクセスを追跡することをお勧めします。
問題を発見したら、それを保護するための上記のオプションがあります。また、VPCをセットアップし(追加費用なしで)、お気に入りのセキュリティソフトウェアを使用してコンテンツをさらに制御します。
通常、問題は他の人にあなたのコンテンツを見てもらうことです。S3を使用すると、かなり低いコストと労力で、必要なだけのコンテンツを簡単に作成できます。
于 2012-12-08T10:48:58.497 に答える
1
AWS には組み込みの制限があります (たとえば、このフォームに入力する場合を除き、約 20 の同時インスタンス) 。
ただし、最善の策は、いくつかのアラームを設定し、 newvemのようなツールで統合することです。
于 2012-12-07T19:56:45.827 に答える
-1
Newvem は現在 Datapipe に買収されているため、利用できません。
https://techcrunch.com/2013/09/10/datapipe-acquires-newvem-an-analytics-service-for-monitoring-aws/
于 2017-01-10T13:37:22.510 に答える