Amazon AWSアクセスキーの安全性はどの程度ですか？

Question

期限切れのs3バケットにpresigned URLを提供したいと思います。 .NET SDKには、きれいにこれらのURLを生成し、それらを見て、私は少し心配になり：

https://s3.amazonaws.com/upload_youtipit/myfile?AWSAccessKeyId=**MYACCESSKEY**&Expires=1317924047&response-content-disposition=attachment;filename=feedback.jpg&response-content-type=image/jpeg&Signature=podKJSrNeFel6%2B0aOneb342H5GA%3D 

なぜそれがURLで私の（パブリック）AWSAccessKeyを置く必要があるのでしょうか？これはもう少し秘密にしてはいけませんか？私はその秘密ではないことを知っていますが、私はまだそれを公に公開するのが気になりません。

私の公開鍵を持っている誰かが私の秘密鍵を推測/ブルートフォースする可能性はありますか？

Answer 1

アクセスキーIDは秘密ではなく、保護する必要はありません。

実際には、S3オブジェクトにアクセスするには、無作為な人に期限切れのURLを渡すことができます。彼らはそのURLのアクセスキーを見ることができますが、あなたが許可していないものは何もできません。

参照：http://docs.amazonwebservices.com/AWSSecurityCredentials/1.0/AboutAWSCredentials.html#AccessKeys

Answer 2

あなたの秘密鍵は、いくつかの未知のパラメータの一方向の計算であり、公開鍵自体をアルゴリズムの一部として使用しない場合もあります。あなたのAWSAccessKeyIdがあなたの秘密鍵の無理な操作の複雑さに何の影響も与えないことを知っています。

httpsは、（ネットワークトラフィックを盗聴している場合）唯一のことは、あなたのIPとポート443のs3.amazonaws.comのIPの間にあることです。接続していてもアマゾンは知られているIPアドレス範囲から推測する必要があります（これはおそらくよく知られています）

アドレスバーのAWSAccessKeyIdを取得する唯一の方法は、物理的に画面に表示することです。一部のキーロガーまたはトロイの木馬をコンピュータにインストールするか、またはMIM（中堅）のamazonのSSL証明書をインストールします。これは、必要なアップストリームネットワークノードに誰かがアクセスしても非常に困難です。

leon

Answer 3

私は一種の受け入れ答えに同意する、しかし、あなたが欲しいものを行う簡単な方法があります。

Amazon IAMを使用してファイルを読み取る必要があります（本当に問題はありませんが、少なくとも処理しているバケットにのみ読み込みが必要です）。次に、そのユーザーのAWS IDとシークレットを使用してダウンロードリンクを生成します。

このIAMリーダーのユーザーのAWSIDとその秘密キーを必要とするバケツ全体を見るために、バケット全体を開くことはありません。依然として時間制限されたURLを構築する必要があります。

IAMコンソールを使用して、数分でそのようなユーザーを作成できます。秘密鍵を取得するチャンスは1つだけです（ユーザーを作るとき（または鍵を回転させるとき））。

それはそれを行う必要があります。このAWSIDには何もアクセスできず、リンクされていません。

一般に、Amazonでは、プライマリAWSIDが '何にも使用されない'ことを推奨しています。 IAMで権限を持つユーザーを作成し、それらのコードを使用します。これにより、多くのセキュリティの柔軟性が得られます。 IAMコンソールで簡単な操作で読取り専用ユーザーをオフにすることができます。