收到我的AWS账户的S3存储桶安全通知电子邮件？

Question

最近我有我的相关AWS S3桶ACL 一封电子邮件，邮件说：

我们谨此提醒您，一个或多个您的Amazon S3存储访问控制列表（ACL）或存储桶策略当前配置为允许来自Internet上任何用户的读取或写入访问。具有此配置的存储桶列表如下。

默认情况下，S3存储桶ACL或策略只允许帐户所有者读取或写入存储桶中的内容;但是，可以配置这些ACL或存储桶策略以允许全球访问。虽然有理由配置存储区以访问世界，包括公共网站或可公开下载的内容，但最近公开披露的S3存储区内容无意中被配置为允许世界读取或写入访问，但不打算公开可用。

我们鼓励您及时检查您的S3存储桶及其内容，以确保您不会无意中将对象提供给您不想要的用户。可以在AWS管理控制台（http://console.aws.amazon.com）中或使用AWS CLI工具查看存储区ACL和策略。允许访问“所有用户”或“任何经过身份验证的AWS用户”（包括任何AWS账户）的ACL实际上授予全球访问相关内容的权限。

所以，我的问题是我该怎么做才能克服这个问题？

Answer 1

这是礼貌通知，让您知道Amazon S3中的内容是公开的。如果这是您希望配置S3存储桶的方式，则无需采取措施。

如果这是而不是您希望如何配置您的存储桶，那么您应该删除这些权限。 （请参阅大量关于如何执行此操作的在线信息。）

我怀疑许多人只是盲目地从各种在线教程中复制指令，可能没有意识到其配置的影响。此电子邮件只是让AWS客户了解其当前配置。

Answer 2

作为第一个答案，是的，这些邮件就像提醒。你应该做什么，

• 现货S3水桶需要被私人
• 检查他们的桶ACL的。期待公众访问&代码
• 之后，检查Bucket策略。请记住，桶策略比ACL更有效（例如，ACL可能设置为拒绝模式，但如果策略处于允许状态，则每个对象都将为公共）。
• 有关最佳做法，请检查此链接; https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Best_Practices.pdf [页的74 28]