西尼亞ming的沙龍

將 AWS S3 bucket 訪問限制為 HTTPS

西尼亞ming-avatar-img
西尼亞ming
更新於 發佈於 閱讀時間約 2 分鐘

以下是限制 S3 bucket 訪問 HTTPS 的方法


測試 S3 存儲桶訪問

S3 bucket 通常允許 HTTP 和 HTTPS 訪問

AWS CLI 預設通常使用 HTTPS 向 AWS 服務發送請求
https://docs.aws.amazon.com/zh_tw/cli/latest/userguide/cli-chap-using.html

首先,為了測試,我創建了一個名為 “ming2099” 的 bucket 並上傳了文件“123.jpeg”

raw-image

讓我們嘗試通過 AWS CLI 訪問

raw-image

可以確認使用 HTTPS 毫無問題的可以訪問

接下來,讓我們嘗試使用 HTTP 訪問

raw-image

可以確認 HTTP 也可以毫無問題地訪問

現在讓我們修改 S3 bucket policy 僅允許 HTTPS 訪問


修改policy以僅允許 HTTPS 訪問

raw-image
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::ming2099",
                "arn:aws:s3:::ming2099/*"
            ],
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}


現在我們已完成policy設置,讓我們使用 AWS CLI 再次訪問

raw-image

我可以確認使用 HTTPS 可以毫無問題地訪問

接下來,嘗試 HTTP 訪問時,會看到出現 “AccessDenied” 錯誤

raw-image

由於 S3 bucket 默認是允許HTTPS和HTTP訪問的,所以考慮到安全性,我覺得有必要修改policy只允許HTTPS訪問


留言
avatar-img
留言分享你的想法!
avatar-img
西尼亞ming的沙龍
16會員
80內容數
西尼亞ming的沙龍的其他內容
2024/11/05
[GCP] Ops-agent可以監控java的效能?(工作日常)
在ops-agent當中可以安裝 JVM 來收集 Java 參數,該工具主要收集 memory 以及 garbage collection 的參數,其中監控的選項有包含以下: jvm.classes.loaded jvm.gc.collections.count jvm.gc.collec
2024/11/05
[GCP] Ops-agent可以監控java的效能?(工作日常)
在ops-agent當中可以安裝 JVM 來收集 Java 參數,該工具主要收集 memory 以及 garbage collection 的參數,其中監控的選項有包含以下: jvm.classes.loaded jvm.gc.collections.count jvm.gc.collec
2024/11/05
[GCP] 檢查 GCP 登入紀錄(工作日常)
**Google Cloud 操作與 Audit Logs 說明** Google Cloud 作為純雲端服務提供商,所有操作均透過 HTTPS 網頁或 API 呼叫完成,並無「登入專案」的行為紀錄。不過,若使用 Google Workspace 管理使用者身份,則可以透過 Google
2024/11/05
[GCP] 檢查 GCP 登入紀錄(工作日常)
**Google Cloud 操作與 Audit Logs 說明** Google Cloud 作為純雲端服務提供商,所有操作均透過 HTTPS 網頁或 API 呼叫完成,並無「登入專案」的行為紀錄。不過,若使用 Google Workspace 管理使用者身份,則可以透過 Google
2024/11/05
[GCP] GCS/BigQuery 建議的備份方法? (工作日常)
使用 Storage Transfer 服務是否能降低成本? Storage Transfer 的計價方式針對從 Cloud Storage 轉移至 Cloud Storage,除了一般費用外,Storage 移轉服務會使用 Cloud Storage rewrite 作業在 Cloud
2024/11/05
[GCP] GCS/BigQuery 建議的備份方法? (工作日常)
使用 Storage Transfer 服務是否能降低成本? Storage Transfer 的計價方式針對從 Cloud Storage 轉移至 Cloud Storage,除了一般費用外,Storage 移轉服務會使用 Cloud Storage rewrite 作業在 Cloud
看更多
你可能也想看
Thumbnail
avatar-avatar
方格子 vocus 官方沙龍
2025 下半場,蝦皮分潤計畫 x vocus 陪你回顧上半年的美好開箱!
2025 vocus 推出最受矚目的活動之一——《開箱你的美好生活》,我們跟著創作者一起「開箱」各種故事、景點、餐廳、超值好物⋯⋯甚至那些讓人會心一笑的生活小廢物;這次活動不僅送出了許多獎勵,也反映了「內容有價」——創作不只是分享、紀錄,也能用各種不同形式變現、帶來實際收入。
#vocusforBusiness#蝦皮#蝦皮分潤
Thumbnail
avatar-avatar
方格子 vocus 官方沙龍
2025 下半場,蝦皮分潤計畫 x vocus 陪你回顧上半年的美好開箱!
2025 vocus 推出最受矚目的活動之一——《開箱你的美好生活》,我們跟著創作者一起「開箱」各種故事、景點、餐廳、超值好物⋯⋯甚至那些讓人會心一笑的生活小廢物;這次活動不僅送出了許多獎勵,也反映了「內容有價」——創作不只是分享、紀錄,也能用各種不同形式變現、帶來實際收入。
#vocusforBusiness#蝦皮#蝦皮分潤
Thumbnail
avatar-avatar
方格子 vocus 官方沙龍
徵才:社群與內容行銷專員 (Community & Marketing Specialist)
嗨!歡迎來到 vocus vocus 方格子是台灣最大的內容創作與知識變現平台,並且計畫持續拓展東南亞等等國際市場。我們致力於打造讓創作者能夠自由發表、累積影響力並獲得實質收益的創作生態圈!「創作至上」是我們的核心價值,我們致力於透過平台功能與服務,賦予創作者更多的可能。 vocus 平台匯聚了
#vocus#徵才#社群行銷
Thumbnail
avatar-avatar
方格子 vocus 官方沙龍
徵才:社群與內容行銷專員 (Community & Marketing Specialist)
嗨!歡迎來到 vocus vocus 方格子是台灣最大的內容創作與知識變現平台,並且計畫持續拓展東南亞等等國際市場。我們致力於打造讓創作者能夠自由發表、累積影響力並獲得實質收益的創作生態圈!「創作至上」是我們的核心價值,我們致力於透過平台功能與服務,賦予創作者更多的可能。 vocus 平台匯聚了
#vocus#徵才#社群行銷
Thumbnail
avatar-avatar
西尼亞ming的沙龍
如何修補 Amazon Linux 2023 上的 OpenSSH 漏洞 CVE-2024-6387
OpenSSH 漏洞 CVE-2024-6387 已公佈。 如果利用此漏洞,則可以在無需身份驗證的情況下以特權遠端執行任意程式碼 此漏洞影響的是 Amazon Linux 2023 作業系統, Amazon Linux 1 和 Amazon Linux 2 不受影響。 https://ex
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
如何修補 Amazon Linux 2023 上的 OpenSSH 漏洞 CVE-2024-6387
OpenSSH 漏洞 CVE-2024-6387 已公佈。 如果利用此漏洞,則可以在無需身份驗證的情況下以特權遠端執行任意程式碼 此漏洞影響的是 Amazon Linux 2023 作業系統, Amazon Linux 1 和 Amazon Linux 2 不受影響。 https://ex
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
利用AWS WAF Rules規則設定IP Set(白名單)和臺灣IP不被阻擋
本文介紹如何使用AWS WAF Rules規則,透過IP Set(白名單) 以及TW IP的設定,來達成阻擋除臺灣以外的請求。同時也介紹了設定規則所需的條件及真值表。該方法可有效提升網站的安全性。
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
利用AWS WAF Rules規則設定IP Set(白名單)和臺灣IP不被阻擋
本文介紹如何使用AWS WAF Rules規則,透過IP Set(白名單) 以及TW IP的設定,來達成阻擋除臺灣以外的請求。同時也介紹了設定規則所需的條件及真值表。該方法可有效提升網站的安全性。
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
AWS CloudFront 與 ALB 連接需要密鑰驗證(實驗)
限制 ALB 連線需透過 CloudFront 來,透過自訂HTTP Heard 來實現 首先先建立ALB 測試訪問 建立 CloudFront,Origins 為 ALB CloudFront 測試訪問 為ALB 新增 Listener rules  轉發到指定的Target
Thumbnail
avatar-avatar
西尼亞ming的沙龍
AWS CloudFront 與 ALB 連接需要密鑰驗證(實驗)
限制 ALB 連線需透過 CloudFront 來,透過自訂HTTP Heard 來實現 首先先建立ALB 測試訪問 建立 CloudFront,Origins 為 ALB CloudFront 測試訪問 為ALB 新增 Listener rules  轉發到指定的Target
Thumbnail
avatar-avatar
西尼亞ming的沙龍
AWS NLB 結合 ALB 如何設置
利用 NLB 固定IP位址的優勢結合來解決 ALB 無固定 IP 之問題 首先設置EC2 Web Service 以Apache 示範 Security group 開放 80 port 0.0.0.0/0 全部允許訪問 建立Target group ,Target type Inst
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
AWS NLB 結合 ALB 如何設置
利用 NLB 固定IP位址的優勢結合來解決 ALB 無固定 IP 之問題 首先設置EC2 Web Service 以Apache 示範 Security group 開放 80 port 0.0.0.0/0 全部允許訪問 建立Target group ,Target type Inst
#AWS
Thumbnail
avatar-avatar
多元人生記事錄
給NxO組織的資安實作建議(二)網站系統-地端租用空間
從第二篇開始,我會以我的經驗(不足之處請多多建議),針對盤點過後的【資產種類】一一說明在資安上要注意的項目,您可以藉此檢視,您的系統是否要進行一些強化措施。 【資產種類】網站系統-地端租用空間(您不會進機房)
#資訊安全#非營利組織
Thumbnail
avatar-avatar
多元人生記事錄
給NxO組織的資安實作建議(二)網站系統-地端租用空間
從第二篇開始,我會以我的經驗(不足之處請多多建議),針對盤點過後的【資產種類】一一說明在資安上要注意的項目,您可以藉此檢視,您的系統是否要進行一些強化措施。 【資產種類】網站系統-地端租用空間(您不會進機房)
#資訊安全#非營利組織
Thumbnail
avatar-avatar
西尼亞ming的沙龍
AWS EC2 Instance metadata
EC2 Metadata 是可以從作業系統獲取的 EC2 信息,如 Instance ID、Instance 類型、所屬AZ等。例如,您可以通過將Instance ID 放在作業系統上運行的腳本的數據中來使 Logs 更易於查看。 獲取 Metadata 的方法是Instance Meta Dat
#AWS#攻擊
Thumbnail
avatar-avatar
西尼亞ming的沙龍
AWS EC2 Instance metadata
EC2 Metadata 是可以從作業系統獲取的 EC2 信息,如 Instance ID、Instance 類型、所屬AZ等。例如,您可以通過將Instance ID 放在作業系統上運行的腳本的數據中來使 Logs 更易於查看。 獲取 Metadata 的方法是Instance Meta Dat
#AWS#攻擊
Thumbnail
avatar-avatar
西尼亞ming的沙龍
將 AWS S3 bucket 訪問限制為 HTTPS
以下是限制 S3 bucket 訪問 HTTPS 的方法 測試 S3 存儲桶訪問 S3 bucket 通常允許 HTTP 和 HTTPS 訪問 AWS CLI 預設通常使用 HTTPS 向 AWS 服務發送請求 https://docs.aws.amazon.com/zh_tw/cli/l
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
將 AWS S3 bucket 訪問限制為 HTTPS
以下是限制 S3 bucket 訪問 HTTPS 的方法 測試 S3 存儲桶訪問 S3 bucket 通常允許 HTTP 和 HTTPS 訪問 AWS CLI 預設通常使用 HTTPS 向 AWS 服務發送請求 https://docs.aws.amazon.com/zh_tw/cli/l
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
強制 AWS IAM User 使用 MFA 保護帳號
當在管理 AWS 帳戶常常提醒 User 要設置啟用 MFA 來保護帳號安全,但常常這樣提醒是蠻累的,這是可以透過Policy來強制使用,當未啟用 MFA 將無法使用所有功能,除設置 MFA 例外。 Policy 如下: { "Version": "2012-10-17", "S
#AWS#帳號
Thumbnail
avatar-avatar
西尼亞ming的沙龍
強制 AWS IAM User 使用 MFA 保護帳號
當在管理 AWS 帳戶常常提醒 User 要設置啟用 MFA 來保護帳號安全,但常常這樣提醒是蠻累的,這是可以透過Policy來強制使用,當未啟用 MFA 將無法使用所有功能,除設置 MFA 例外。 Policy 如下: { "Version": "2012-10-17", "S
#AWS#帳號
Thumbnail
avatar-avatar
Lounge
#012.SSL?網站突然變成不安全網站?嘗試解決歷程
首先,這是一篇嘗試文,並不保證成效。僅說明,當時我學習的過程。
#自媒體#網站#WP
Thumbnail
avatar-avatar
Lounge
#012.SSL?網站突然變成不安全網站?嘗試解決歷程
首先,這是一篇嘗試文,並不保證成效。僅說明,當時我學習的過程。
#自媒體#網站#WP
Thumbnail
avatar-avatar
GYB的沙龍
如何提升NAS的安全性
如果你還是決定繼續使用NAS,在不花錢請專業資安人員的前提下,自己多花一點時間學習如何設定是必要的。天下沒有白吃的午餐,任何解決方案都是有利有弊。 在這個離不開電子資料的年代,提升自己的資安知識,我想已經是每個人無可迴避的義務。
#遠距#律師#資安
Thumbnail
avatar-avatar
GYB的沙龍
如何提升NAS的安全性
如果你還是決定繼續使用NAS,在不花錢請專業資安人員的前提下,自己多花一點時間學習如何設定是必要的。天下沒有白吃的午餐,任何解決方案都是有利有弊。 在這個離不開電子資料的年代,提升自己的資安知識,我想已經是每個人無可迴避的義務。
#遠距#律師#資安
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News