Security AmazonS3作为备份
我遇到了一个问题,我需要为我的客户实施每日备份,我有一个用于管理呼叫中心的应用程序,在客户机上本地工作,我有数据库和应用程序,我需要在云中进行每日备份,我正在考虑S3,但我有点担心安全性,因为我需要创建一个AWS公共帐户,该帐户可以上传到S3存储桶,并且该帐户将位于服务器中,所以如果有人获得了密钥,他们将能够上传东西,或者淹没S3存储桶,有没有安全的方法 我知道,由于服务器在客户端,基本上很难维护安全性,但我正试图让事情尽可能困难,让人获得或密钥/访问等Security AmazonS3作为备份,security,amazon-web-services,amazon-s3,Security,Amazon Web Services,Amazon S3,我遇到了一个问题,我需要为我的客户实施每日备份,我有一个用于管理呼叫中心的应用程序,在客户机上本地工作,我有数据库和应用程序,我需要在云中进行每日备份,我正在考虑S3,但我有点担心安全性,因为我需要创建一个AWS公共帐户,该帐户可以上传到S3存储桶,并且该帐户将位于服务器中,所以如果有人获得了密钥,他们将能够上传东西,或者淹没S3存储桶,有没有安全的方法 我知道,由于服务器在客户端,基本上很难维护安全性,但我正试图让事情尽可能困难,让人获得或密钥/访问等 如果有任何其他服务我可以使用,我很想知道
如果有任何其他服务我可以使用,我很想知道。我强烈建议您阅读AWS关于管理S3资源访问权限的文档 您绝对不需要创建一个公众可以访问您的服务的公共帐户。您只需创建一个策略,将上载能力限制为所需的任何参数。然后将其上传到bucket的权限中 示例bucket策略限制从特定IP地址连接的特定IAM用户的访问,并进一步限制上传到特定文件类型(.zip)可能如下所示:
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AddCannedAcl",
"Effect":"Allow",
"Principal": {"AWS": ["arn:aws:iam::111122223333:root","arn:aws:iam::444455556666:root"]},
"Action":["s3:PutObject","s3:PutObjectAcl"],
"Resource": "arn:aws:s3:::your-bucket-name/*.zip",
"Condition":{
"StringEquals":{"s3:x-amz-acl":["public-read"]},
"IpAddress" : { "aws:SourceIp" : ["10.0.0.0/24", "192.168.0.9/32"] },
}
}
]
}
在上述步骤中,您将更改以下内容:
最后,根据你需要多长时间访问备份数据,你应该考虑使用冰窖而不是S3桶…Glacier的价格要便宜得多,而且专为不经常需要访问的数据而设计。感谢您的解释,这正是我所寻找的,有了这些限制,我想一切都会好起来,我会看看Glacier保险库,我不知道!顺便说一句,我很乐意读这些文件。谢谢你接受这个答案!