Wie sicher sind die Amazon AWS-Zugriffsschlüssel?

Möchte ich presigned urls zu meiner s3-buckets mit einem Ablaufdatum.
Die .net sdk gut generiert diese urls, aber die Suche nach Ihnen macht mir sorgen ein wenig:

https://s3.amazonaws.com/upload_youtipit/myfile?AWSAccessKeyId=**MYACCESSKEY**&Expires=1317924047&response-content-disposition=attachment;filename=feedback.jpg&response-content-type=image/jpeg&Signature=podKJSrNeFel6%2B0aOneb342H5GA%3D

Warum braucht es, um meine (öffentlichen) AWSAccessKey in der Url? Sollte dies nicht gehalten werden, ein bisschen mehr vertraulich? Ich weiß, das ist nicht das Geheimnis, aber ich weiß immer noch nicht wohl fühlen setzen Sie es in der öffentlichkeit..

Wie wahrscheinlich ist es, dass jemand, der hat meinen öffentlichen Schlüssel, der erraten kann/bruteforce meinen private key?

InformationsquelleAutor AyKarsi | 2011-10-06
  1. 32

    Den Zugriffsschlüssel-ID ist nicht geheim und nicht Schutz brauchen.

    In der Tat, Sie können geben Sie abläuft, URLs, um zufällige fremde, wenn Sie wollen, dass Sie Zugriff auf ein S3-Objekt. Sie können sehen, die access key in der URL, kann aber nicht alles tun, dass Sie nicht autorisiert haben.

    Referenz: http://docs.amazonwebservices.com/AWSSecurityCredentials/1.0/AboutAWSCredentials.html#AccessKeys

    • danke. Dennoch fühle ich mich nicht vorhandener Austausch. Wenn jemand den öffentlichen Teil der likeleyhood er herausfinden können, ist der private Teil erhebt viel. Mit den Tasten, die er dann Zugang zu meinem kompletten aws-Umgebung. Nur weil ich wollte einige Dateien..
    • Nein, die public Access Key ID gibt dem Angreifer keinen Vorteil bei der Bestimmung der Secret Access Key, es sei denn, ich nehme an, der Angreifer hat bereits eine Liste der gültigen Secret Access Keys und nur Fragen, welche Access-Key-id gehen Sie mit.
    • Verbringen Sie Ihren Aufwand Schutz für Ihren geheimen Schlüssel zugreifen. Sie verstecken Ihre nicht geheime Access Key ID reduziert die AWS-Funktionen, die Sie verwenden können.
    • Es gibt genug echte Sicherheitsprobleme zu befürchten, ohne dass sich neue.
    • Warten Sie aber nicht den Schlüssel zugreifen, die es Ihnen erlauben, gut, access andere Dinge, die in der S3, die wir nicht unbedingt wollen, zu entlarven? @EricHammond
    • Nein, die access key id keinen Zugriff auf irgendetwas. Es ist eine id, die auf öffentlichen Plätzen gezeigt. Der secret access key sollte jedoch geheim bleiben, da es keine Zugriff gewähren.
    • Ich bin immer ein xml-Baum für eine null-S3 resource, error: nosuchkey, (niedrig) besorgt über HostId Ausgang zu. Irgendwelche Gedanken?

    InformationsquelleAutor Eric Hammond
  2. 10

    Ich einverstanden mit der Antwort akzeptiert, aber es gibt einen einfachen Weg, das zu tun, was Sie wollen.

    Müssen Sie für die Nutzung von Amazon IAM-um einen Benutzer anzulegen, der nur das Lesen von Dateien (es ist nicht wirklich wichtig, aber Sie sollten zumindest Lesen sich nur auf den Eimer, dass Sie sich mit). Verwenden Sie dann die Benutzer AWS-ID und secret zu generieren, die den download-link.

    Diese nicht öffnen, Ihre ganzen Eimer, zu sehen, den ganzen Eimer der Mensch braucht die AWSID dieser IAM - "reader" - Benutzer, plus Ihre geheimen Schlüssel. Sie müssen noch zu konstruieren ist zeitlich begrenzt URLs.

    Können Sie die IAM-Konsole erstellen Sie eine Benutzer-wie, dass in ein paar Minuten. Sie bekommen nur eine chance, um den Schlüssel - an der Zeit, die Sie die Benutzer (oder, wenn Sie drehen seine Schlüssel).

    Das sollte es tun. Diese AWSID hat keinen Zugriff auf irgendetwas, und ist nicht an Sie gebunden.

    Im Allgemeinen Amazon empfiehlt jetzt, dass Ihre primäre AWSID wird nicht verwendet 'für alles'. Erstellen Sie Benutzer mit Berechtigungen in IAM, dann verwenden Sie die codes. Dies ermöglicht eine Reihe von Sicherheits-Flexibilität. Sie können schalten Sie den nur-Lesen-Benutzer mit einer einfachen Aktion in die IAM-Konsole.

    InformationsquelleAutor Tom Andersen
  3. 2

    Ihren privaten Schlüssel ist ein one-way Berechnung einige unbekannte Parameter, kann es auch nicht verwenden den öffentlichen Schlüssel selbst, der als Teil des Algorithmus. zu wissen, Ihre AWSAccessKeyId sollte keine Auswirkungen auf die Komplexität der brute-zwingen Sie Ihren privaten Schlüssel zu löschen.

    https gewährleistet, das einzige, was jemand sagen kann über Ihre Verbindung (wenn Sie sniffing Netzwerkverkehr) ist, dass es zwischen Ihrer IP und die IP des s3.amazonaws.com auf port 443. auch die Tatsache, dass Sie die Verbindung zu amazon hätte hergeleitet werden aus einem bekannten ip-Adressbereiche zugewiesen (ist wohl bekannt jedenfalls)

    der einzige Weg, um auf Ihre AWSAccessKeyId in der Adressleiste ist physisch zu sehen, es auf Ihrem Bildschirm, installieren Sie einige key-logger oder Trojaner auf Ihrem computer oder MIM (man in the middle-ing.) von amazon, das SSL-Zertifikat, das ist extrem hart, selbst wenn jemand Zugriff auf die benötigte upstream-Netzwerk-Knoten.

    leon

    • ist nicht der vollständige url-Parameter sichtbar, wenn Sie schnüffelt? Wenn ich Fiddler, das ist mein Verständnis von einem sniffing-tool, sehe ich die vollständige url..
    • ich bin mir nicht sicher, ob Sie mit fiddler ' s HTTPS-Entschlüsselung-Funktionen (fiddler2.com/fiddler/help/httpsdecryption.asp), die die MIM, die ich beschrieben lokal (und verlangen Sie ignorieren cert-Warnungen). dies wird nicht möglich sein, außerhalb der eigenen Maschine. ich habe gerade getestet fiddler mit FF und suchen encrypted.google.com, nichts kommt. nur das HTTP Protokoll angezeigt wird, wenn Sie benutzt wird.
    InformationsquelleAutor leeoniya
  4. 0

    Können Sie mithilfe von AWS Security Token Service (AWS STS) wenn Sie Interesse an mehr Sicherheit.

    Temporäre Sicherheits-Anmeldeinformationen funktionieren fast genauso wie der langfristige Zugriff auf die Schlüssel der Anmeldeinformationen, die Ihre IAM-Benutzer verwenden können, mit den folgenden unterschieden:

    1. Temporäre Sicherheits-Anmeldeinformationen sind kurzfristig, wie der name schon sagt. Sie kann konfiguriert werden, um für die letzten überall von ein paar Minuten bis zu mehreren Stunden. Nachdem die Anmeldeinformationen abgelaufen sind, die AWS nicht mehr erkennt, oder Sie können jede Art von Zugriff von API-Anforderungen mit Ihnen gemacht.

    2. Temporäre Sicherheits-Anmeldeinformationen nicht gespeichert werden mit dem Anwender, sondern werden dynamisch generiert und dem Nutzer zur Verfügung gestellt, wenn angefordert. Bei (oder sogar vor) dem temporären Sicherheits-Anmeldeinformationen abgelaufen sind, kann der Benutzer die Anfrage neue Zugangsdaten, solange der Benutzer der Aufforderung, noch hat Berechtigungen zu tun.

    Ref: https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html

    InformationsquelleAutor Yasiru G
Schreibe einen Kommentar