Принудительное использование SSL-трафика в существующей корзине S3: как гарантировать, что что-то не сломается?
В моей компании у нас есть несколько корзин S3, и мы хотим обеспечить для них трафик только по протоколу HTTPS. Эти корзины запущены и работают, т.е. лямбда-функции и внешние интеграции (например, системы мониторинга безопасности) либо записывают в них объекты, либо постоянно извлекают из них объекты.
Я планирую ввести следующую политику ACL:
{
"Version": "2012-10-17",
"Id": "Enforce HTTPS",
"Statement": [
{
"Sid": "HTTPSOnly",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::mybucket",
"arn:aws:s3:::mybucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
Какие шаги я должен предпринять, чтобы гарантировать, что лямбда-функции и внешние интеграции по-прежнему смогут записывать / читать из сегментов после реализации политики ACL?
заранее спасибо
1 ответ
Операции S3, которые вы выполняете из функций Lambda, и интерфейс командной строки AWS по умолчанию использует TLS. Вам нужно будет проверить любые внешние интеграции, которые используют S3, используют SSL или выполняют операции S3 управляемым способом. Если это так, то не проблема, я бы сказал.
Следует отметить одну маленькую вещь. Условие, добавленное в конце, очень важно :). Я по ошибке пропустил часть условия во время процесса слияния. Это добавило явный отказ, который отклонил все запросы S3. Пользователь root может помочь только обновить политику еще раз.
Еще одна вещь, которую следует отметить, если у вас есть отдельная служба, которая заботится о развертывании этого изменения, вам нужно будет разрешить выполнение роли этой службы.