Open S3バケットは脆弱ですか？

Question

私はバケツが何であるかを知っていますが、それを知りたいのはオープンバケツの脆弱性です。

オープンバケットとは何ですか？どのようにしてこの脆弱性を確認します

ありがとうございます！

Answer 1

最近、公にアクセス可能なS3バケットを含む多くの高プロファイルのリークがありました。私があなたの質問を正しく理解しているなら、あなたはそれらの正確さと、バケツが脆弱かどうかを知る方法を尋ねています。

S3バケットは、アクセスコントロールのアクセス許可に基づいて公開アクセス可能と見なされます。バケットを公開するには2通りの方法があります。最初のものはAccess Control Lists (ACLs)です。バケットがパブリックリードに設定されている場合は、そのURLの内容を誰でもダウンロードできます。第2の方法は、bucket policyを使用する方法です。バケットは、this example from the S3 documentationとしてバケットポリシーを使用して公表することができる。この場合

{ 
    "Version":"2012-10-17", 
    "Statement":[ 
    { 
     "Sid":"AddPerm", 
     "Effect":"Allow", 
     "Principal": "*", 
     "Action":["s3:GetObject"], 
     "Resource":["arn:aws:s3:::examplebucket/*"] 
    } 
    ] 
} 

、"Principal": "*"匿名ユーザーを含むユーザーを、意味しています。

バケットがパブリックアクセスを許可しているかどうかを確認するには、それぞれのバケットで2つの権限を確認します。あなたのバケツが公開されないように、AWSはAWS Config rule for preventing public read and write accessをリリースしました。

Answer 2

CLIクエリを作成して、どのバケットにパブリック許可があるかを確認できます。それは2つのステップのプロセスです。

1. http://docs.aws.amazon.com/cli/latest/reference/s3api/list-buckets.html
2. クエリポリシーとACL http://docs.aws.amazon.com/cli/latest/reference/s3api/get-bucket-policy.html http://docs.aws.amazon.com/cli/latest/reference/s3api/get-bucket-acl.html

ちょうどすべてが見ることを可能にするACLを持つすべてのバケットを取得するバケットのリストを取得します。

これが役に立ちます。