"Recomendamos encarecidamente que nunca otorgue ningún tipo de acceso público a su depósito S3".
He establecido una política pública muy granular (s3: GetObject) para un depósito que uso para alojar un sitio web. Route53 admite explícitamente el alias de un depósito para este propósito. ¿Esta advertencia es redundante o estoy haciendo algo mal?
security
amazon-web-services
amazon-s3
amazon-route53
Andrew Johnson
fuente
fuente
Respuestas:
Sí, si sabe lo que está haciendo ( editar: y todos los demás con acceso a él también lo saben ...), puede ignorar esta advertencia.
Existe porque incluso las grandes organizaciones que deberían saber mejor han colocado accidentalmente datos privados en cubos públicos. Amazon también le enviará correos electrónicos de advertencia si deja los cubos públicos además de las advertencias en la consola.
Si está absolutamente seguro al 100% de que todo en el bucket debe ser público y que nadie va a poner accidentalmente datos privados en él, un sitio HTML estático es un buen ejemplo, entonces, por supuesto, déjelo en público.
fuente
El problema de privacidad que aparece en la respuesta de ceejayoz no es el único problema.
Leer objetos de un cubo S3 tiene un precio. AWS le facturará por cada descarga de este paquete. Y si tiene mucho tráfico (o si alguien que quiere dañar su negocio comienza a descargar archivos durante todo el día), rápidamente se volverá costoso.
Si desea que los archivos de su depósito sean de acceso público, debe crear una Distribución de Cloudfront que señale y se le otorgue acceso al depósito S3 .
Ahora, puede usar el nombre de dominio de Cloudfront Distribution para servir sus archivos sin otorgar ningún acceso S3 al público.
En esta configuración, paga por el uso de datos de Cloudfront en lugar de S3. Y a volúmenes más altos es mucho más barato.
fuente