將 AWS S3 bucket 訪問限制為 HTTPS

更新於 2024/09/30發佈於 2023/10/01閱讀時間約 2 分鐘

以下是限制 S3 bucket 訪問 HTTPS 的方法

測試 S3 存儲桶訪問

S3 bucket 通常允許 HTTP 和 HTTPS 訪問

AWS CLI 預設通常使用 HTTPS 向 AWS 服務發送請求
https://docs.aws.amazon.com/zh_tw/cli/latest/userguide/cli-chap-using.html

首先，為了測試，我創建了一個名為 “ming2099” 的 bucket 並上傳了文件“123.jpeg”

raw-image

讓我們嘗試通過 AWS CLI 訪問

raw-image

可以確認使用 HTTPS 毫無問題的可以訪問

接下來，讓我們嘗試使用 HTTP 訪問

raw-image

可以確認 HTTP 也可以毫無問題地訪問

現在讓我們修改 S3 bucket policy 僅允許 HTTPS 訪問

修改policy以僅允許 HTTPS 訪問

raw-image

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::ming2099",
                "arn:aws:s3:::ming2099/*"
            ],
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

現在我們已完成policy設置，讓我們使用 AWS CLI 再次訪問

raw-image

我可以確認使用 HTTPS 可以毫無問題地訪問

接下來，嘗試 HTTP 訪問時，會看到出現 “AccessDenied” 錯誤

raw-image

由於 S3 bucket 默認是允許HTTPS和HTTP訪問的，所以考慮到安全性，我覺得有必要修改policy只允許HTTPS訪問

留言

留言分享你的想法！

西尼亞ming的沙龍

16會員

80內容數

西尼亞ming的沙龍的其他內容

2024/11/05

[GCP] Ops-agent可以監控java的效能?(工作日常)

在ops-agent當中可以安裝 JVM 來收集 Java 參數，該工具主要收集 memory 以及 garbage collection 的參數，其中監控的選項有包含以下： jvm.classes.loaded jvm.gc.collections.count jvm.gc.collec

2024/11/05

[GCP] Ops-agent可以監控java的效能?(工作日常)

在ops-agent當中可以安裝 JVM 來收集 Java 參數，該工具主要收集 memory 以及 garbage collection 的參數，其中監控的選項有包含以下： jvm.classes.loaded jvm.gc.collections.count jvm.gc.collec

2024/11/05

[GCP] 檢查 GCP 登入紀錄(工作日常)

**Google Cloud 操作與 Audit Logs 說明** Google Cloud 作為純雲端服務提供商，所有操作均透過 HTTPS 網頁或 API 呼叫完成，並無「登入專案」的行為紀錄。不過，若使用 Google Workspace 管理使用者身份，則可以透過 Google

2024/11/05

[GCP] 檢查 GCP 登入紀錄(工作日常)

**Google Cloud 操作與 Audit Logs 說明** Google Cloud 作為純雲端服務提供商，所有操作均透過 HTTPS 網頁或 API 呼叫完成，並無「登入專案」的行為紀錄。不過，若使用 Google Workspace 管理使用者身份，則可以透過 Google

2024/11/05

[GCP] GCS/BigQuery 建議的備份方法？ (工作日常)

使用 Storage Transfer 服務是否能降低成本？ Storage Transfer 的計價方式針對從 Cloud Storage 轉移至 Cloud Storage，除了一般費用外，Storage 移轉服務會使用 Cloud Storage rewrite 作業在 Cloud

2024/11/05

[GCP] GCS/BigQuery 建議的備份方法？ (工作日常)

使用 Storage Transfer 服務是否能降低成本？ Storage Transfer 的計價方式針對從 Cloud Storage 轉移至 Cloud Storage，除了一般費用外，Storage 移轉服務會使用 Cloud Storage rewrite 作業在 Cloud

你可能也想看

科技巨頭解碼

NVDA 25Q1 財報 - 扣除中國因素，輝達的前方仍然沒有烏雲 | #276

全球科技產業的焦點，AKA 全村的希望 NVIDIA，於五月底正式發布了他們在今年 2025 第一季的財報 (輝達內部財務年度為 2026 Q1，實際日曆期間為今年二到四月)，交出了打敗了市場預期的成績單。然而，在銷售持續高速成長的同時，川普政府加大對於中國的晶片管制......

#NVDA#NVIDIA#輝達

2025/06/18

科技巨頭解碼

NVDA 25Q1 財報 - 扣除中國因素，輝達的前方仍然沒有烏雲 | #276

全球科技產業的焦點，AKA 全村的希望 NVIDIA，於五月底正式發布了他們在今年 2025 第一季的財報 (輝達內部財務年度為 2026 Q1，實際日曆期間為今年二到四月)，交出了打敗了市場預期的成績單。然而，在銷售持續高速成長的同時，川普政府加大對於中國的晶片管制......

#NVDA#NVIDIA#輝達

2025/06/18

西尼亞ming的沙龍

如何修補 Amazon Linux 2023 上的 OpenSSH 漏洞 CVE-2024-6387

OpenSSH 漏洞 CVE-2024-6387 已公佈。如果利用此漏洞，則可以在無需身份驗證的情況下以特權遠端執行任意程式碼此漏洞影響的是 Amazon Linux 2023 作業系統， Amazon Linux 1 和 Amazon Linux 2 不受影響。 https://ex

2024/07/04

西尼亞ming的沙龍

如何修補 Amazon Linux 2023 上的 OpenSSH 漏洞 CVE-2024-6387

OpenSSH 漏洞 CVE-2024-6387 已公佈。如果利用此漏洞，則可以在無需身份驗證的情況下以特權遠端執行任意程式碼此漏洞影響的是 Amazon Linux 2023 作業系統， Amazon Linux 1 和 Amazon Linux 2 不受影響。 https://ex

2024/07/04

西尼亞ming的沙龍

利用AWS WAF Rules規則設定IP Set(白名單)和臺灣IP不被阻擋

本文介紹如何使用AWS WAF Rules規則，透過IP Set(白名單) 以及TW IP的設定，來達成阻擋除臺灣以外的請求。同時也介紹了設定規則所需的條件及真值表。該方法可有效提升網站的安全性。

2024/02/14

西尼亞ming的沙龍

利用AWS WAF Rules規則設定IP Set(白名單)和臺灣IP不被阻擋

本文介紹如何使用AWS WAF Rules規則，透過IP Set(白名單) 以及TW IP的設定，來達成阻擋除臺灣以外的請求。同時也介紹了設定規則所需的條件及真值表。該方法可有效提升網站的安全性。

2024/02/14

西尼亞ming的沙龍

AWS CloudFront 與 ALB 連接需要密鑰驗證（實驗）

限制 ALB 連線需透過 CloudFront 來，透過自訂HTTP Heard 來實現首先先建立ALB 測試訪問建立 CloudFront，Origins 為 ALB CloudFront 測試訪問為ALB 新增 Listener rules 轉發到指定的Target

2023/12/27

西尼亞ming的沙龍

AWS CloudFront 與 ALB 連接需要密鑰驗證（實驗）

限制 ALB 連線需透過 CloudFront 來，透過自訂HTTP Heard 來實現首先先建立ALB 測試訪問建立 CloudFront，Origins 為 ALB CloudFront 測試訪問為ALB 新增 Listener rules 轉發到指定的Target

2023/12/27

西尼亞ming的沙龍

AWS NLB 結合 ALB 如何設置

利用 NLB 固定IP位址的優勢結合來解決 ALB 無固定 IP 之問題首先設置EC2 Web Service 以Apache 示範 Security group 開放 80 port 0.0.0.0/0 全部允許訪問建立Target group ，Target type Inst

2023/12/26

西尼亞ming的沙龍

AWS NLB 結合 ALB 如何設置

利用 NLB 固定IP位址的優勢結合來解決 ALB 無固定 IP 之問題首先設置EC2 Web Service 以Apache 示範 Security group 開放 80 port 0.0.0.0/0 全部允許訪問建立Target group ，Target type Inst

2023/12/26

多元人生記事錄

給NxO組織的資安實作建議(二)網站系統-地端租用空間

從第二篇開始，我會以我的經驗(不足之處請多多建議)，針對盤點過後的【資產種類】一一說明在資安上要注意的項目，您可以藉此檢視，您的系統是否要進行一些強化措施。【資產種類】網站系統-地端租用空間(您不會進機房)

#資訊安全#非營利組織

2023/12/18

多元人生記事錄

給NxO組織的資安實作建議(二)網站系統-地端租用空間

從第二篇開始，我會以我的經驗(不足之處請多多建議)，針對盤點過後的【資產種類】一一說明在資安上要注意的項目，您可以藉此檢視，您的系統是否要進行一些強化措施。【資產種類】網站系統-地端租用空間(您不會進機房)

#資訊安全#非營利組織

2023/12/18

西尼亞ming的沙龍

AWS EC2 Instance metadata

EC2 Metadata 是可以從作業系統獲取的 EC2 信息，如 Instance ID、Instance 類型、所屬AZ等。例如，您可以通過將Instance ID 放在作業系統上運行的腳本的數據中來使 Logs 更易於查看。獲取 Metadata 的方法是Instance Meta Dat

2023/10/01

西尼亞ming的沙龍

AWS EC2 Instance metadata

EC2 Metadata 是可以從作業系統獲取的 EC2 信息，如 Instance ID、Instance 類型、所屬AZ等。例如，您可以通過將Instance ID 放在作業系統上運行的腳本的數據中來使 Logs 更易於查看。獲取 Metadata 的方法是Instance Meta Dat

2023/10/01

西尼亞ming的沙龍

將 AWS S3 bucket 訪問限制為 HTTPS

以下是限制 S3 bucket 訪問 HTTPS 的方法測試 S3 存儲桶訪問 S3 bucket 通常允許 HTTP 和 HTTPS 訪問 AWS CLI 預設通常使用 HTTPS 向 AWS 服務發送請求 https://docs.aws.amazon.com/zh_tw/cli/l

2023/10/01

西尼亞ming的沙龍

將 AWS S3 bucket 訪問限制為 HTTPS

以下是限制 S3 bucket 訪問 HTTPS 的方法測試 S3 存儲桶訪問 S3 bucket 通常允許 HTTP 和 HTTPS 訪問 AWS CLI 預設通常使用 HTTPS 向 AWS 服務發送請求 https://docs.aws.amazon.com/zh_tw/cli/l

2023/10/01

追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News