Amazon S3をバックアップ

Question

私は問題があります。私はクライアントのために毎日のバックアップを実装する必要があります。クライアント上でローカルに動作するコールセンターを管理するアプリケーションがあります。データベースとアプリケーションがあります。クラウドでの毎日のバックアップ、私はS3を検討していますが、S3 BucketにアップロードできるAWS公開アカウントを作成する必要があるので、セキュリティで少し気になります。そのアカウントはサーバーにありますもし誰かが鍵を手に入れたら、物をアップロードしたり、S3バケットを洪水させたりすることができます。安全な方法がありますか？

があった場合、私はなど誰かに取得したり、キー/アクセス、サーバがクライアントにあるので、基本的には、セキュリティを維持するのは難しいが、私は可能な限りハードとしてのものを作るしようとしていることを

を知っています私が使うことができる他のサービスです、知ることは面白いでしょう。

Answer 1

私は強くあなたがS3リソースあなたは間違いなくあなたのサービスへのパブリックアクセスパブリックアカウントを作成する必要はありませんhttp://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html

へのアクセス権限を管理する上でAWSのドキュメントを読むことをお勧め。どのようなパラメータにでもアップロード機能を制限するポリシーを作成するだけです。その後、バケットの権限でアップロードします。

サンプルバケットポリシー、特定のIPアドレスから接続されている特定のIAMユーザーへのアクセスを制限し、さらに特定のファイルタイプ（.zipファイル）へのアップロードを制限することは、このようになります。

{ 
    "Version":"2012-10-17", 
    "Statement":[ 
    { 
     "Sid":"AddCannedAcl", 
     "Effect":"Allow", 
     "Principal": {"AWS": ["arn:aws:iam::111122223333:root","arn:aws:iam::444455556666:root"]}, 
     "Action":["s3:PutObject","s3:PutObjectAcl"], 
     "Resource": "arn:aws:s3:::your-bucket-name/*.zip", 
     "Condition":{ 
     "StringEquals":{"s3:x-amz-acl":["public-read"]}, 
     "IpAddress" : { "aws:SourceIp" : ["10.0.0.0/24", "192.168.0.9/32"] }, 

     } 
    } 
    ] 
} 

上記では以下を変更します：

1. "プリンシパル"の下にあるIAMユーザーのリスト。あなたは、あなたの顧客ごとに作成した個々のIAMユーザーのものを補足します。
2. 「リソース」の下にあるバケットの名前とファイルのタイプ。
3. 最後に、サーバーのパブリックIPアドレスをホワイトリストにしているように、「IPアドレス」を使用してIPアドレスをホワイトリストに登録できます。

さらに、特定の時刻にファイルをアップロードする機能を制限することもできます（より複雑ですが、実行できます）。この場合、特定の時刻に特定の送信元IPアドレスから特定のファイルタイプをアップロードして、特定のIAMユーザーにアップロードする機能が制限されます。 IMOでは、バックアップのアップロード制限が厳しくなっています。あなたがアップロードされたファイルをダウンロードする能力を誰にも与えていないので、これは合理的で堅牢なセキュリティレベルであり、ストレージ費用を犠牲にする不正なアップロードであるという最大のリスクを感じています。疑わしいアクティビティを通知するようにアラームを設定することもできます。要点は、シナリオが一見低リスクであり、要件を容易に管理できることです。

最後に、バックアップデータへのアクセス頻度に応じて、S3バケットの代わりにGlacier Vaultを使用することを検討する必要があります。氷河はかなり安く、頻繁にアクセスする必要のあるデータ用に設計されています。