我们正在分配仅具有S3访问权限的IAM访问密钥。
我需要做些什么来确保没有1000个唯一的IP从S3密钥下载到S3?
如果有人丢失s3密钥并且黑客以递归方式下载我们s3中的所有文件,我希望收到提醒。
答案 0 :(得分:2)
没有内置机制可以给你这样的警告。但是,这里有一些选项需要考虑......
您可以限制对特定IP地址范围的访问(例如,公司网络),以便只能从这些IP地址访问Amazon S3存储桶。如果您知道只能从某些IP地址访问,则强烈建议您这样做。
您可以监控Amazon S3 bucket logs ,它会记录对Amazon S3对象的每次访问权限。这些日志可以传递给 Amazon CloudWatch Events ,可以将其配置为计算访问对象的次数。然后,您可以创建Amazon CloudWatch警报,以便在访问次数超过特定阈值时发送通知。
您可以使用Amazon CloudTrail跟踪object-level operations并将其传递给Amazon CloudWatch Events(类似于上述内容)。
您可以使用临时凭据而非永久凭据。您可以让他们对系统进行身份验证,然后使用AWS Security Token Service提供有时间限制的凭据,而不是向人们提供永久持续的凭据。这些凭据会在特定时间段后自动过期。这样,如果凭据进入狂野状态,它们只会在特定时间段内有效,之后就无法使用。