AWS S3 e fattore 2 (multifattore)

2

Ho un cliente che desidera utilizzare i bucket AWS S3 per il trasferimento di file ad altri client. Questi dati potrebbero contenere una sorta di dati protetti.

Mi piacerebbe impostare S3 per utilizzare 2 fattori o MFA per il login / connessione.

Ho esaminato una serie di documenti AWS e ho scoperto come utilizzare MFA per impedire che i dati S3 vengano eliminati ... Ho scoperto come proteggere l'account AWS stesso con MFA, ma non lo è per i client che accedono a S3.

Vedo che S3 usa un ID di accesso che è una stringa casuale lunga e complessa e una chiave privata, che è più lunga.

Domande
1. Posso impostare S3 per utilizzare un tipo di autenticazione a 2 fattori?
2. L'ID di accesso conta per 2 fattori poiché è casuale e non è legato al nome di una persona o ad altro?

Qualche altro pensiero?

    
posta MikeP 09.12.2016 - 21:08
fonte

2 risposte

2

L'MFA non è progettato per impedire la cancellazione o la modifica di qualsiasi file. L'unico obiettivo è rendere più difficile il furto delle credenziali dell'utente.

Inoltre, non hai impostato MFA per bucket S3 (o oggetto), lo hai impostato per un utente. Le autorizzazioni per quell'utente sono specificate da ACL e criteri.

Quindi in un modo puoi "abilitare MFA per S3". Crea utenti, attiva MFA, assegna le politiche. Ma gli URL firmati sono più adatti alle esigenze del tuo cliente.

    
risposta data 09.12.2016 - 21:21
fonte
1

Can I set up S3 to use some kind of 2 factor authentication?

No, perché S3 non ha un'autenticazione propria.

Does the Access ID count for 2 factor since it is random and not tied to a person's name or anything else?

No, i fattori in "autenticazione a due fattori" sono diversi tipi di cose; di solito per 2FA è qualcosa che conosci (una password, una chiave segreta) e qualcosa che hai (un dispositivo OTP hardware). Il motivo per cui rauth multi-facot è così spesso consigliato è perché è difficile per un utente malintenzionato accedere a entrambi i tipi - un ladro fisico può rubare il tuo telefono o il tuo keyfob, ma non conoscerà la tua password, e un attaccante remoto può rubare la tua password o la tua chiave segreta ma non avrà accesso al tuo dispositivo OTP.

Inoltre, le coppie chiave / chiave di Amazon sono la sola cosa di cui hai bisogno per accedere all'API AWS (non hai bisogno di conoscere il nome dell'utente), quindi non è solo una secondo fattore, ma è il fattore solo .

Come primo passo, nella maggior parte dei casi è un'ottima idea abilitare il versioning del bucket S3 . Questo memorizzerà vecchie versioni di file, il che aumenta i costi di archiviazione, ma può essere un vero toccasana se elimini accidentalmente qualcosa di importante.

In un unico account Amazon, puoi creare account secondari e gestirli con IAM. Questo è generalmente il modo in cui dovresti gestire più utenti, piuttosto che dare loro tutti gli accessi condivisi allo stesso account. Con IAM, puoi aggiungere le autorizzazioni minime necessarie per ciascun utente assegnando le norme appropriate. . Pertanto, se un client deve essere in grado di leggere i file protetti, ma non ha bisogno di scrivere su di essi, è possibile dare loro solo il permesso di lettura - e quindi, qualsiasi violazione delle loro credenziali darà solo l'accesso in lettura all'attaccante. Allo stesso modo, è possibile fornire accesso in scrittura senza eliminare. Puoi anche applicare le autorizzazioni S3 per scope pathpath e, in genere, avere molta flessibilità per indirizzare esattamente ciò di cui hai bisogno.

    
risposta data 09.12.2016 - 22:15
fonte

Leggi altre domande sui tag