s3中的任何公共文件是否为某人钱包的开放保险库?
我已经看到了一些脚本和外部工具来监控和反应,我想知道目前是否有更好的方法来限制AWS资源消耗。
答案 0 :(得分:4)
如果达到某个限制,您可以使用CloudWatch(AWS内部监控工具)设置notification。收到此类通知后,您可以限制对此存储桶/文件的访问权限。
您可以轻松设置服务器访问日志(选中docs),以便检查您是否受到攻击,以及由谁进行攻击。例如:
$ ./s3curl.pl --id YOUR_AWS_ACCESS_KEY_ID --key YOUR_AWS_SECRET_ACCESS_KEY -- -s -v 'https://s3.amazonaws.com/mybucket?logging' > mybucket.logging
您可以定义一组restrictions。您可以根据IP范围进行限制,甚至可以通过推荐进行限制(仅当引用的网站是您的网站时才允许下载图像)。例如:
{
"Version":"2008-10-17",
"Id":"http referrer policy example",
"Statement":[
{
"Sid":"Allow get requests referred by www.mysite.com and mysite.com",
"Effect":"Allow",
"Principal":"*",
"Action":"s3:GetObject",
"Resource":"arn:aws:s3:::example-bucket/*",
"Condition":{
"StringLike":{
"aws:Referer":[
" http://www.mysite.com/*",
" http://mysite.com/*"
]
}
}
}
]
}
无论如何,单一黑客攻击的价格相当低。 S3定价为每GB 0.12 $和每10,000 GET请求0.01 $。需要花费巨大的精力和数以百万计的要求才能让您获得重要的账单。
我建议您在努力保护之前设置上面的通知并跟踪对您的存储桶的访问权。
一旦发现问题,您可以选择上面的选项来保护它,并设置VPC(无需额外费用),并使用您最喜爱的安全软件进一步控制您的内容。
通常问题是让人们查看您的内容,而S3可以轻松地以相当低的成本和精力提供尽可能多的内容。
答案 1 :(得分:1)
答案 2 :(得分:-1)
Newvem不可用,因为它已被Datapipe收购。
https://techcrunch.com/2013/09/10/datapipe-acquires-newvem-an-analytics-service-for-monitoring-aws/