Я новичок в AWS CLI, но одна вещь, которая меня немного беспокоит, - это то, что мне нужно хранить свои учетные данные в файле. У меня есть несколько buckets на S3, и я создаю учетную запись для своего приложения, которая будет иметь доступ только для этого сегмента. Однако, если мой сервер взломан, злоумышленник может легко прочитать мои .aws/credentials файл и уничтожить все в моем ведре. Тогда у моей компании возникнут огромные проблемы, поскольку мы очень полагаемся на AWS! Есть ли какие-нибудь предложения по повышению безопасности этого сценария?
Я могу полностью понять, что если мой сервер взломан и у меня есть доступ к sudo, мои шансы невелики, однако я хотел бы сделать более сложным, чтобы предотвратить любой ущерб.
Выпуск 1:
это тот факт, что мне нужно хранить свои учетные данные в файле
Если ваш сервер является экземпляром EC2, вам не нужно хранить учетные данные в файле.
Вместо этого используйте роли IAM и профили экземпляров с вашими экземплярами EC2. При этом не настраивайте учетные данные для интерфейса командной строки AWS. Когда вы выполняете команды с помощью интерфейса командной строки, интерфейс командной строки собирает временные учетные данные вне сервера и использует их.
http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html
Если вы сделаете это, то, если кто-то получит несанкционированный доступ к серверу, у них не будет никаких файлов учетных данных, которые они могли бы забрать. Чтобы нанести какой-либо ущерб, они должны были бы сделать это прямо на сервере.
Выпуск 2:
Чтобы предотвратить повреждение сегмента, включите управление версиями сегмента. Таким образом, если кто-то удаляет объекты и / или изменяет их, вы получаете доступ к старым версиям.
Также, если вам действительно нужно удалить объекты, включите удаление MFA. Если этот параметр включен, MFA необходимо использовать, когда необходимо удалить объекты. Без использования устройства MFA удаление объектов запрещено.
Для всех, кто обращается к корзине, дайте им минимальные разрешения. Будьте осторожны, слепо позволяя s3:*. Если им нужно только читать объекты, просто дайте им s3:GetObject.
Вы должны сделать резервное копирование вне офиса. Каждый день (в примере) вы будете копировать все свои данные в другое место к другому провайдеру, и в случае аварии вы сможете восстановить их.