【发布时间】:2012-12-07 19:02:46
【问题描述】:
s3 中的任何公共文件是否是某人钱包的开放保管库?
我看到了一些脚本和外部工具来监控和响应,我想知道目前是否有更好的方法来限制 AWS 资源消耗。
【问题讨论】:
标签: amazon-s3 amazon-web-services amazon
【发布时间】:2012-12-07 19:02:46
【问题描述】:
如果达到某个限制,您可以使用 CloudWatch(AWS 内部监控工具)设置notification。收到此类通知后,您可以限制对该存储桶/文件的访问。
您可以轻松设置服务器访问日志(检查docs),这将允许您检查您是否受到攻击,以及被谁攻击。例如:
$ ./s3curl.pl --id YOUR_AWS_ACCESS_KEY_ID --key YOUR_AWS_SECRET_ACCESS_KEY -- -s -v 'https://s3.amazonaws.com/mybucket?logging' > mybucket.logging
您有一组可以定义的restrictions。您可以根据 IP 范围甚至通过引用进行限制(仅当引用的站点是您的站点时才允许下载图像)。例如:
{
"Version":"2008-10-17",
"Id":"http referrer policy example",
"Statement":[
{
"Sid":"Allow get requests referred by www.mysite.com and mysite.com",
"Effect":"Allow",
"Principal":"*",
"Action":"s3:GetObject",
"Resource":"arn:aws:s3:::example-bucket/*",
"Condition":{
"StringLike":{
"aws:Referer":[
" http://www.mysite.com/*",
" http://mysite.com/*"
]
}
}
}
]
}
无论如何,一次黑客攻击的代价是相当低的。 S3 定价为每 GB 0.12 美元,每 10,000 个 GET 请求 0.01 美元。您需要付出巨大的努力和数以百万计的请求才能收到一笔巨额账单。
我建议您在努力保护它之前设置上面的通知并跟踪对您的存储桶的访问。
一旦您发现问题,您可以通过上述选项来保护它,以及设置VPC(无需额外费用)并使用您最喜欢的安全软件进一步控制您的内容。
通常的问题是让人们查看您的内容,而 S3 让您可以轻松地以相当低的成本和精力发布尽可能多的内容。
【讨论】:
-
s3 和 AWS 真的很棒,只是试图找到这个问题的当前“规范答案”。非常感谢您的贡献和指点,将研究它们。
【讨论】:
-
很好,谢谢奥尔德林。我想知道 coursera 这样的大型网站如何处理这个问题。他们难道不应该担心我在 S3 上的公众形象会突然遭到 DDoS 攻击并被脚本小子搞砸预算吗?
-
它确实发生了 (behind-the-enemy-lines.com/2012/04/…) 在某些情况下,AWS 本身会在他们注意到您的使用量激增时给您打电话。
Newvem 不可用,因为它现在已被 Datapipe 收购。
https://techcrunch.com/2013/09/10/datapipe-acquires-newvem-an-analytics-service-for-monitoring-aws/
【讨论】: