S3アクセスのAWSキーが間違った手に入りましたか？

Question

私は、S3アクセスのみでIAMアクセスキーを割り当てています。

S3鍵からS3にダウンロードする1000個のユニークなIPがないことを確認するにはどうすればよいですか？

誰かがs3キーを紛失し、ハッカーがs3のすべてのファイルを再帰的にダウンロードした場合、私は警告を受けたいと思います。

Answer 1

このような警告を出すための組み込みのメカニズムはありません。 Amazon S3のバケットにのみ、それらのIPアドレスからアクセスできるように、しかし、ここで考慮すべきいくつかのオプションがあります...あなたがIPの特定の範囲へのアクセスを制限することができ

は（例えば、企業ネットワーク）を対応しています。特定のIPアドレスからしかアクセスできないことがわかっている場合は、これを強くお勧めします。

は、Amazon S3 bucket logsを監視し、Amazon S3オブジェクトへのアクセスを記録します。これらのログはAmazon CloudWatch Eventsに渡すことができ、オブジェクトのアクセス回数をカウントするように設定できます。その後、Amazon CloudWatchアラームを作成して、アクセス数が特定のしきい値を超えた場合に通知を送信することができます。

Amazon CloudTrailを使用してobject-level operationsを追跡し、Amazon CloudWatch Eventsに渡すことができます（上記と同様）。

永続資格情報の代わりに一時的な資格情報を使用できます。永遠に続く人の資格情報を与えるのではなく、AWS Security Token Serviceを使用して時間制限された資格情報を提供するシステムに対してそれらの資格情報を認証させることができます。これらの資格情報は、特定の期間が過ぎると自動的に失効します。このように、資格情報が「野生のもの」になると、特定の期間だけ有効になり、その後は使用できなくなります。