【发布时间】:2012-08-16 03:42:38
【问题描述】:
目标:我想将敏感数据保存在 s3 存储桶中,并在位于私有云中的 EC2 实例上进行处理。我研究了通过 IP 和用户(iam)arn 设置 S3 存储桶策略的可能性,因此我认为 s3 存储桶中的数据是“安全的”。但我担心下一个场景:
1) 有 vpc
2) 里面有一个 ec2 isnttance
3) 有一个用户在受控(允许)帐户下,有权连接和使用ec2 实例和存储桶。存储桶被定义和配置为仅与已知(授权)ec2 实例一起使用。
安全漏洞:用户在 ec2 实例上上传恶意软件应用程序,并在处理数据期间执行恶意软件应用程序,将数据传输到不同 AWS 账户下的其他(未经授权的)存储桶。
禁用将数据上传到 ec2-在我的情况下,实例不是一个选项。
问题: 是否可以限制对 vpc 防火墙的访问,使其可以访问某些特定的 s3 存储桶,但会被拒绝访问任何其他存储桶?假设用户可能将恶意软件应用程序上传到 ec2 实例,并在其中将数据上传到其他存储桶(在第三方 AWS 账户下)。
【问题讨论】:
-
所以问题是“如何防止用户从我的 EC2 实例执行上传到他们自己的 S3 存储桶?”
-
是的。用户可以将数据从 EC2 实例上传到我的 S3 存储桶(Account1),但限制将数据上传到任何其他存储桶(在 Account2、Account N 下,任何其他)。
-
您的实例是在私有 VPC 子网中还是在公共子网中? IE。子网路由表是否包含到 Internet 网关或 NAT 实例的 0.0.0.0/0 路由?
-
EC2 实例在 VPN 中。可以添加限制并拒绝访问某些主机,但这并不能解决我的问题:我必须允许访问 s3 Amazon 端点:s3.amazonaws.com.Requirement 是:允许某些 s3 存储桶 - 其他受限(其他人位于不同的帐户下,未知-因为无法设置策略)
网址过滤也不是这种情况:亚马逊API使用TLS(https)-所有数据都已加密。目前我只看到拒绝使用 s3 并将所有数据存储在 EBS 服务上的解决方案。 -
无论如何克里斯托弗,感谢您的帮助:)
标签: amazon-s3 amazon-ec2 amazon-web-services amazon-vpc