Seguridad del Tour en Amazon S3

Jmocanar · 7 Diciembre, 2020 19:01

Hola a tod@s,

Llevo usando Amazon S3 durante algún tiempo y la verdad es que estoy contento. Funciona muy bien.

Pero últimamente me ha surgido una duda sobre el acceso no autorizado a los ficheros del tour. Me explico.

Cuando configuro el Bucket, siguiendo la guía de Mario, se desbloquea el acceso publico. Lógico para que la gente pueda acceder al tour para verlo.

Mi duda es si no sería posible, al dar acceso público, que alguien se descargara la página web y se descargara el tour completo?. Hay programas para descargar webs gratuitos.

He hecho pruebas yo mismo con estos programas y no se ha descargado el tour. Aun que si algún fichero/imagen asociada al mismo.

Entiendo que para un hacker no será muy complicado. Yo, que no tengo mucha idea, con estos programas no he sido capaz, lo que me tranquiliza.

A lo mejor algún Kamarada sabe cuan seguro es Amazon S3 en la configuración de acceso público. Y si es posible reforzar la seguridad anti descarga.

Un saludo
Chema

Daniboy · 5 Febrero, 2021 19:54

Buena pregunta y aun sin respuesta de la comunidad, Por el momento, dejo el codigo en formato JSON ya que el XML ya esta obsoleto para configurar el CORS de S3

[
{
“AllowedHeaders”: [
“*”
],
“AllowedMethods”: [
“PUT”,
“POST”,
“DELETE”
],
“AllowedOrigins”: [
“http://360.tudominio.com”
],
“ExposeHeaders”: [
“x-amz-server-side-encryption”,
“x-amz-request-id”,
“x-amz-id-2”
],
“MaxAgeSeconds”: 3000
}
]

Mario-Carvajal · 6 Febrero, 2021 15:24

Yo nunca he generado este tipo de restricción a los tours virtuales. Al escudriñar un poco en la documentación de Amazon, encuentro esta página, en donde explican cómo hacerlo.

Te la envío, sin haber probado, para darte algunas pistas de cuatro posibles soluciones. Como todo con Amazon, el nivel de explicación puede ser bastante confuso para no desarrolladores así que a vestirse de paciencia y a probar mucho. Ya nos contarás si lo logras.

Restrinja el acceso a sus recursos de S3

De forma predeterminada, todos los buckets de S3 son privados y solo los usuarios a los que se les ha concedido acceso explícitamente pueden acceder a ellos. Al usar AWS, es una buena práctica restringir el acceso a sus recursos a las personas que lo necesitan absolutamente. Siga el principio de privilegio mínimo.

Restrinja el acceso a sus buckets u objetos de S3 mediante:

Escribir políticas de usuario de AWS Identity and Access Management (IAM) que especifiquen los usuarios que pueden acceder a buckets y objetos específicos. Las políticas de IAM proporcionan una forma programática de administrar los permisos de Amazon S3 para varios usuarios. Para obtener más información sobre cómo crear y probar políticas de usuario, consulte AWS Policy Generator y IAM Policy Simulator.

Escribir políticas de buckets que definan el acceso a buckets y objetos específicos. Puede utilizar una política de bucket para otorgar acceso a todas las cuentas de AWS, otorgar permisos públicos o anónimos y permitir o bloquear el acceso según las condiciones. Para obtener más información sobre la creación y prueba de políticas de bucket, consulte AWS Policy Generator.

Uso de Amazon S3 Block Public Access como una forma centralizada de limitar el acceso público. La configuración de Bloquear acceso público anula las políticas de bucket y los permisos de objetos. Asegúrese de habilitar Bloquear el acceso público para todas las cuentas y depósitos a los que no desee acceder públicamente.

Establecer listas de control de acceso (ACL) en sus depósitos y objetos.