[Security] Влияние идентификаторов учетной записи AWS



Answers

AWS позволяет создавать несколько пользователей с помощью Identity and Access Management . Это позволит вам реализовать любой из ваших сценариев.

Я бы предложил определить пользователя IAM для каждого экземпляра EC2, это позволяет отменить доступ к определенному пользователю (или только к их ключам доступа), если соответствующий экземпляр EC2 подвергнут риску, а также использовать мелкие разрешения для ограничения того, какие API-интерфейсы могут вызывать и какие ресурсы они могут получить доступ (например, только разрешить загрузке пользователя в конкретное ведро).

Question

Я использую инструменты Amazon для создания веб-приложения. Я очень доволен ими, но у меня проблема безопасности.

Сейчас я использую несколько экземпляров EC2, S3, SimpleDB и SQS. Чтобы аутентифицировать запросы к различным службам, вы включаете свои идентификаторы доступа (требуется вход).

Например, чтобы загрузить файл на S3 из экземпляра EC2, ваш экземпляр EC2 должен иметь ваш идентификатор ключа доступа и ваш секретный ключ доступа .

Это в основном означает, что ваше имя пользователя и пароль должны быть в ваших экземплярах.

Если один из моих экземпляров должен быть скомпрометирован, все мои активы Amazon будут скомпрометированы. Ключи могут использоваться для загрузки / замены данных S3 и SimpleDB, запуска и остановки экземпляров EC2 и т. Д.

Как я могу свести к минимуму ущерб одного взломанного хоста?

Моя первая мысль состоит в том, чтобы получить несколько идентификаторов для каждой учетной записи, чтобы я мог отслеживать сделанные изменения и быстро отменить «взломанную» учетную запись. Amazon не поддерживает более одного набора учетных данных для каждой учетной записи.

Моя вторая мысль заключалась в создании нескольких учетных записей и использовании ACL для управления доступом. К сожалению, не все службы поддерживают предоставление другим учетным записям доступа к вашим данным. Плюс пропускная способность дешевле, тем более, что вы используете, поэтому, если все это пройти через одну учетную запись, это идеально.

Кто-нибудь занимался или, по крайней мере, думал об этой проблеме?




AWS предлагает «Консолидированный биллинг», который затрагивает вашу озабоченность во второй мысли.

https://aws-portal.amazon.com/gp/aws/developer/account/index.html?ie=UTF8&action=consolidated-billing

«Консолидированный биллинг позволяет консолидировать платеж для нескольких учетных записей Amazon Web Services (AWS) в вашей компании, указав единую платежную учетную запись. Вы можете увидеть комбинированное представление расходов AWS, понесенных всеми учетными записями, а также получить подробный отчет о расходах для каждая из отдельных учетных записей AWS, связанных с вашей платежной учетной записью. Консолидированный биллинг также может снизить общие расходы, поскольку свернутое использование на всех ваших учетных записях может помочь вам быстрее достичь более низких уровней объема ».




Links