西尼亞ming的沙龍

將 AWS S3 bucket 訪問限制為 HTTPS

西尼亞ming-avatar-img
西尼亞ming
更新於 發佈於 閱讀時間約 2 分鐘

以下是限制 S3 bucket 訪問 HTTPS 的方法


測試 S3 存儲桶訪問

S3 bucket 通常允許 HTTP 和 HTTPS 訪問

AWS CLI 預設通常使用 HTTPS 向 AWS 服務發送請求
https://docs.aws.amazon.com/zh_tw/cli/latest/userguide/cli-chap-using.html

首先,為了測試,我創建了一個名為 “ming2099” 的 bucket 並上傳了文件“123.jpeg”

raw-image

讓我們嘗試通過 AWS CLI 訪問

raw-image

可以確認使用 HTTPS 毫無問題的可以訪問

接下來,讓我們嘗試使用 HTTP 訪問

raw-image

可以確認 HTTP 也可以毫無問題地訪問

現在讓我們修改 S3 bucket policy 僅允許 HTTPS 訪問


修改policy以僅允許 HTTPS 訪問

raw-image
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::ming2099",
                "arn:aws:s3:::ming2099/*"
            ],
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}


現在我們已完成policy設置,讓我們使用 AWS CLI 再次訪問

raw-image

我可以確認使用 HTTPS 可以毫無問題地訪問

接下來,嘗試 HTTP 訪問時,會看到出現 “AccessDenied” 錯誤

raw-image

由於 S3 bucket 默認是允許HTTPS和HTTP訪問的,所以考慮到安全性,我覺得有必要修改policy只允許HTTPS訪問


留言
avatar-img
留言分享你的想法!
avatar-img
西尼亞ming的沙龍
16會員
80內容數
西尼亞ming的沙龍的其他內容
2024/11/05
[GCP] Ops-agent可以監控java的效能?(工作日常)
在ops-agent當中可以安裝 JVM 來收集 Java 參數,該工具主要收集 memory 以及 garbage collection 的參數,其中監控的選項有包含以下: jvm.classes.loaded jvm.gc.collections.count jvm.gc.collec
2024/11/05
[GCP] Ops-agent可以監控java的效能?(工作日常)
在ops-agent當中可以安裝 JVM 來收集 Java 參數,該工具主要收集 memory 以及 garbage collection 的參數,其中監控的選項有包含以下: jvm.classes.loaded jvm.gc.collections.count jvm.gc.collec
2024/11/05
[GCP] 檢查 GCP 登入紀錄(工作日常)
**Google Cloud 操作與 Audit Logs 說明** Google Cloud 作為純雲端服務提供商,所有操作均透過 HTTPS 網頁或 API 呼叫完成,並無「登入專案」的行為紀錄。不過,若使用 Google Workspace 管理使用者身份,則可以透過 Google
2024/11/05
[GCP] 檢查 GCP 登入紀錄(工作日常)
**Google Cloud 操作與 Audit Logs 說明** Google Cloud 作為純雲端服務提供商,所有操作均透過 HTTPS 網頁或 API 呼叫完成,並無「登入專案」的行為紀錄。不過,若使用 Google Workspace 管理使用者身份,則可以透過 Google
2024/11/05
[GCP] GCS/BigQuery 建議的備份方法? (工作日常)
使用 Storage Transfer 服務是否能降低成本? Storage Transfer 的計價方式針對從 Cloud Storage 轉移至 Cloud Storage,除了一般費用外,Storage 移轉服務會使用 Cloud Storage rewrite 作業在 Cloud
2024/11/05
[GCP] GCS/BigQuery 建議的備份方法? (工作日常)
使用 Storage Transfer 服務是否能降低成本? Storage Transfer 的計價方式針對從 Cloud Storage 轉移至 Cloud Storage,除了一般費用外,Storage 移轉服務會使用 Cloud Storage rewrite 作業在 Cloud
看更多
你可能也想看
Thumbnail
avatar-avatar
Emma 的意識界。
輕鬆賺零用金的祕密 | 蝦皮分潤計畫賺零用金實測成果開箱 +近期敗家好物開箱 😁
透過蝦皮分潤計畫,輕鬆賺取零用金!本文分享5-6月實測心得,包含數據流程、實際收入、平臺優點及注意事項,並推薦高分潤商品,教你如何運用空閒時間創造被動收入。
#蝦皮#行動電源#測試
Thumbnail
avatar-avatar
Emma 的意識界。
輕鬆賺零用金的祕密 | 蝦皮分潤計畫賺零用金實測成果開箱 +近期敗家好物開箱 😁
透過蝦皮分潤計畫,輕鬆賺取零用金!本文分享5-6月實測心得,包含數據流程、實際收入、平臺優點及注意事項,並推薦高分潤商品,教你如何運用空閒時間創造被動收入。
#蝦皮#行動電源#測試
Thumbnail
avatar-avatar
好好宅在家
【單身實驗室.蝦皮分潤計畫】藏身蝦皮的植系青屬,為我的北向陽台增添家人。
單身的人有些會養寵物,而我養植物。畢竟寵物離世會傷心,植物沒養好再接再厲就好了~(笑)
#開箱#蝦皮分潤計畫#單身實驗室
Thumbnail
avatar-avatar
好好宅在家
【單身實驗室.蝦皮分潤計畫】藏身蝦皮的植系青屬,為我的北向陽台增添家人。
單身的人有些會養寵物,而我養植物。畢竟寵物離世會傷心,植物沒養好再接再厲就好了~(笑)
#開箱#蝦皮分潤計畫#單身實驗室
Thumbnail
avatar-avatar
翰墨飄香的沙龍
補貨小日常|居家生活用品實測分享,還順便開啟蝦皮分潤計畫小驚喜!
不知你有沒有過這種經驗?衛生紙只剩最後一包、洗衣精倒不出來,或電池突然沒電。這次一次補貨,從電池、衛生紙到洗衣精,還順便分享使用心得。更棒的是,搭配蝦皮分潤計畫,愛用品不僅自己用得安心,分享給朋友還能賺回饋。立即使用推薦碼 X5Q344E,輕鬆上手,隨時隨地賺取分潤!
#衛生紙#洗衣精#居家生活
Thumbnail
avatar-avatar
翰墨飄香的沙龍
補貨小日常|居家生活用品實測分享,還順便開啟蝦皮分潤計畫小驚喜!
不知你有沒有過這種經驗?衛生紙只剩最後一包、洗衣精倒不出來,或電池突然沒電。這次一次補貨,從電池、衛生紙到洗衣精,還順便分享使用心得。更棒的是,搭配蝦皮分潤計畫,愛用品不僅自己用得安心,分享給朋友還能賺回饋。立即使用推薦碼 X5Q344E,輕鬆上手,隨時隨地賺取分潤!
#衛生紙#洗衣精#居家生活
Thumbnail
avatar-avatar
阿Mo的murmur小天地🪄
開箱+分潤分享|社畜的療癒小樹洞 🧑‍🎨 iPad 殼 × 蝦皮分潤計畫
身為一個典型的社畜,上班時間被會議、進度、KPI 塞得滿滿,下班後只想要找一個能夠安靜喘口氣的小角落。對我來說,畫畫就是那個屬於自己的小樹洞。無論是胡亂塗鴉,還是慢慢描繪喜歡的插畫人物,那個專注在筆觸和色彩的過程,就像在幫心靈按摩一樣,讓緊繃的神經慢慢鬆開。
#小確幸#iPad#樹洞
Thumbnail
avatar-avatar
阿Mo的murmur小天地🪄
開箱+分潤分享|社畜的療癒小樹洞 🧑‍🎨 iPad 殼 × 蝦皮分潤計畫
身為一個典型的社畜,上班時間被會議、進度、KPI 塞得滿滿,下班後只想要找一個能夠安靜喘口氣的小角落。對我來說,畫畫就是那個屬於自己的小樹洞。無論是胡亂塗鴉,還是慢慢描繪喜歡的插畫人物,那個專注在筆觸和色彩的過程,就像在幫心靈按摩一樣,讓緊繃的神經慢慢鬆開。
#小確幸#iPad#樹洞
Thumbnail
avatar-avatar
西尼亞ming的沙龍
如何修補 Amazon Linux 2023 上的 OpenSSH 漏洞 CVE-2024-6387
OpenSSH 漏洞 CVE-2024-6387 已公佈。 如果利用此漏洞,則可以在無需身份驗證的情況下以特權遠端執行任意程式碼 此漏洞影響的是 Amazon Linux 2023 作業系統, Amazon Linux 1 和 Amazon Linux 2 不受影響。 https://ex
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
如何修補 Amazon Linux 2023 上的 OpenSSH 漏洞 CVE-2024-6387
OpenSSH 漏洞 CVE-2024-6387 已公佈。 如果利用此漏洞,則可以在無需身份驗證的情況下以特權遠端執行任意程式碼 此漏洞影響的是 Amazon Linux 2023 作業系統, Amazon Linux 1 和 Amazon Linux 2 不受影響。 https://ex
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
利用AWS WAF Rules規則設定IP Set(白名單)和臺灣IP不被阻擋
本文介紹如何使用AWS WAF Rules規則,透過IP Set(白名單) 以及TW IP的設定,來達成阻擋除臺灣以外的請求。同時也介紹了設定規則所需的條件及真值表。該方法可有效提升網站的安全性。
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
利用AWS WAF Rules規則設定IP Set(白名單)和臺灣IP不被阻擋
本文介紹如何使用AWS WAF Rules規則,透過IP Set(白名單) 以及TW IP的設定,來達成阻擋除臺灣以外的請求。同時也介紹了設定規則所需的條件及真值表。該方法可有效提升網站的安全性。
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
AWS CloudFront 與 ALB 連接需要密鑰驗證(實驗)
限制 ALB 連線需透過 CloudFront 來,透過自訂HTTP Heard 來實現 首先先建立ALB 測試訪問 建立 CloudFront,Origins 為 ALB CloudFront 測試訪問 為ALB 新增 Listener rules  轉發到指定的Target
Thumbnail
avatar-avatar
西尼亞ming的沙龍
AWS CloudFront 與 ALB 連接需要密鑰驗證(實驗)
限制 ALB 連線需透過 CloudFront 來,透過自訂HTTP Heard 來實現 首先先建立ALB 測試訪問 建立 CloudFront,Origins 為 ALB CloudFront 測試訪問 為ALB 新增 Listener rules  轉發到指定的Target
Thumbnail
avatar-avatar
西尼亞ming的沙龍
AWS NLB 結合 ALB 如何設置
利用 NLB 固定IP位址的優勢結合來解決 ALB 無固定 IP 之問題 首先設置EC2 Web Service 以Apache 示範 Security group 開放 80 port 0.0.0.0/0 全部允許訪問 建立Target group ,Target type Inst
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
AWS NLB 結合 ALB 如何設置
利用 NLB 固定IP位址的優勢結合來解決 ALB 無固定 IP 之問題 首先設置EC2 Web Service 以Apache 示範 Security group 開放 80 port 0.0.0.0/0 全部允許訪問 建立Target group ,Target type Inst
#AWS
Thumbnail
avatar-avatar
多元人生記事錄
給NxO組織的資安實作建議(二)網站系統-地端租用空間
從第二篇開始,我會以我的經驗(不足之處請多多建議),針對盤點過後的【資產種類】一一說明在資安上要注意的項目,您可以藉此檢視,您的系統是否要進行一些強化措施。 【資產種類】網站系統-地端租用空間(您不會進機房)
#資訊安全#非營利組織
Thumbnail
avatar-avatar
多元人生記事錄
給NxO組織的資安實作建議(二)網站系統-地端租用空間
從第二篇開始,我會以我的經驗(不足之處請多多建議),針對盤點過後的【資產種類】一一說明在資安上要注意的項目,您可以藉此檢視,您的系統是否要進行一些強化措施。 【資產種類】網站系統-地端租用空間(您不會進機房)
#資訊安全#非營利組織
Thumbnail
avatar-avatar
西尼亞ming的沙龍
AWS EC2 Instance metadata
EC2 Metadata 是可以從作業系統獲取的 EC2 信息,如 Instance ID、Instance 類型、所屬AZ等。例如,您可以通過將Instance ID 放在作業系統上運行的腳本的數據中來使 Logs 更易於查看。 獲取 Metadata 的方法是Instance Meta Dat
#AWS#攻擊
Thumbnail
avatar-avatar
西尼亞ming的沙龍
AWS EC2 Instance metadata
EC2 Metadata 是可以從作業系統獲取的 EC2 信息,如 Instance ID、Instance 類型、所屬AZ等。例如,您可以通過將Instance ID 放在作業系統上運行的腳本的數據中來使 Logs 更易於查看。 獲取 Metadata 的方法是Instance Meta Dat
#AWS#攻擊
Thumbnail
avatar-avatar
西尼亞ming的沙龍
將 AWS S3 bucket 訪問限制為 HTTPS
以下是限制 S3 bucket 訪問 HTTPS 的方法 測試 S3 存儲桶訪問 S3 bucket 通常允許 HTTP 和 HTTPS 訪問 AWS CLI 預設通常使用 HTTPS 向 AWS 服務發送請求 https://docs.aws.amazon.com/zh_tw/cli/l
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
將 AWS S3 bucket 訪問限制為 HTTPS
以下是限制 S3 bucket 訪問 HTTPS 的方法 測試 S3 存儲桶訪問 S3 bucket 通常允許 HTTP 和 HTTPS 訪問 AWS CLI 預設通常使用 HTTPS 向 AWS 服務發送請求 https://docs.aws.amazon.com/zh_tw/cli/l
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
強制 AWS IAM User 使用 MFA 保護帳號
當在管理 AWS 帳戶常常提醒 User 要設置啟用 MFA 來保護帳號安全,但常常這樣提醒是蠻累的,這是可以透過Policy來強制使用,當未啟用 MFA 將無法使用所有功能,除設置 MFA 例外。 Policy 如下: { "Version": "2012-10-17", "S
#AWS#帳號
Thumbnail
avatar-avatar
西尼亞ming的沙龍
強制 AWS IAM User 使用 MFA 保護帳號
當在管理 AWS 帳戶常常提醒 User 要設置啟用 MFA 來保護帳號安全,但常常這樣提醒是蠻累的,這是可以透過Policy來強制使用,當未啟用 MFA 將無法使用所有功能,除設置 MFA 例外。 Policy 如下: { "Version": "2012-10-17", "S
#AWS#帳號
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News