代码之家  ›  专栏  ›  技术社区  ›  angelique000

amazon s3存储:可以在私有存储桶中列出公共文件夹吗?

amazon-s3 amazon-web-services
  •  0
  • angelique000  · 技术社区  · 6 年前

    我有一个amazon s3存储桶,所有设置都在默认模式下。当我转到Bucket Permissions选项卡并查看该部分时 公共访问 / 所有人 ,所有选项都是空的,因此所有内容都是私有的。

    现在我用一个很长的随机sha1散列创建了一个文件夹,我上传了这个文件夹中的一些文件和子文件夹,并将整个文件夹公开。是否可以检测(列出)此文件夹?

    当我在浏览器中找到我的bucket时 https://s3.xxx.amazonaws.com/my-private-bucket 我明白了: <Code>AccessDenied</Code> 是的。

    看起来不错。但也许还有其他方法可以检测我的公用文件夹?

    1 回复  |  直到 6 年前
        1
  •  1
  •   John Rotenstein    6 年前

    如果你的吊桶政策只是 s3:GetObject 对于该文件夹,则不应显示该文件夹存在。但是,当用户请求通过internet访问amazon s3时,各种系统可能会记录对这些对象的访问。您至少应该使用https来访问对象。

    见: TechnoSophos: Allow only HTTPS on an S3 Bucket

    请注意 Security through obscurity - Wikipedia 通常被认为是一种糟糕的安全形式,因为任何知道文件链接的人都可以访问该文件。不要使用“隐藏文件夹”作为敏感信息的安全形式。

    只授予授权人员访问权限的首选方法是让应用程序验证用户的身份,然后让它生成 Amazon S3 pre-signed URLs ,它允许对Amazon S3中的对象进行时间限制访问。

    推荐文章
    Anna Berezko  ·  AWS匹配不支持的TLD域名和S3 bucket静态网站
    1 年前
    renzCNFT  ·  与s3相比,workdocs有什么优势
    2 年前
    Hasham  ·  如何将多个本地文件上载到s3中的一个文件
    2 年前
    sebas flores  ·  S3 URL-使用python下载
    2 年前
    Jawwad Hussain  ·  带s3 amazaon的玛雅edms
    2 年前
    sklal  ·  在Python中从S3存储桶读取xml文件——只存储最后一个文件的内容
    2 年前
    Tobitor  ·  S3:无效的bucket name-bucket name必须与正则表达式匹配
    2 年前
    geo909  ·  AWS Athena:具有非标准文件结构的S3存储桶分区表
    2 年前
    DEB  ·  上传焦油。gz文件到S3 Bucket,使用Bot3和Python
    2 年前
    omid  ·  下一个js-导出站点的目录结构
    2 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号