Блог

Главная - Вопросы по программированию - Возможные проблемы при создании chmod 777 в каталоге, расположенном в сегменте s3

Возможные проблемы при создании chmod 777 в каталоге, расположенном в сегменте s3

#amazon-web-services #amazon-s3 #chmod #s3fs

#amazon-веб-сервисы #amazon-s3 #чмодь #s3fs #amazon-web-services #chmod

Вопрос:

Предположим, у меня есть корзина s3, установленная на моем экземпляре ec2. Моя цель — сохранить мои статические файлы на s3 и получить к ним доступ из моего приложения, которое находится на ec2, поэтому я сделал все так, как должно быть, но проблема в том, что мое приложение не может получить доступ к объектам, которые находятся в подключенной папке или в s3. Мне нужно давать разрешение подключенной папке chmod 777 каждый раз, когда я загружаю новую папку или файл.

  • Поскольку я смонтировал папку с allow_other тегом, поэтому ей не нужно явно предоставлять разрешение. Это должно было позволить приложению редактировать или использовать папки в соответствии с инструкциями.
  • Но это не так, поэтому мне нужно дать 777 разрешение явно.

Итак, мой вопрос в том, что я даю разрешение 777 на папку, которая находится в s3, так каков риск этого?

Мое приложение защищено, оно надежное, так что приложение или интерфейс хороши. Но каков риск наличия папки с разрешением 777 rwx, которую можно просмотреть только из приложения?

Комментарии:

1. Amazon S3 — это служба хранения объектов, а не файловая система. Не рекомендуется «монтировать» корзину Amazon S3 на компьютер, особенно для производственного использования. Вместо этого вы должны получить доступ к Amazon S3 через вызовы API или с помощью интерфейса командной строки AWS (CLI) .

2. Я монтирую его на свой экземпляр ec2. что ж, доступ к файлам осуществляется нечасто. Мне просто нужно хранилище для моих дополнительных файлов.

Ответ №1:

Какова политика доступа к сегменту s3?

Если только приложение может читать и только приложение может записывать в корзину, то вы можете утверждать, что это так же безопасно или небезопасно, как иметь те же разрешения на локальном диске приложения.

Комментарии:

1. S3 имеет общедоступный доступ, я предоставил s3 все службы общедоступного доступа. В целом я хочу знать, безопасно ли это? доступ к корзине осуществляется через мое приложение. Итак, есть ли вероятность возникновения каких-либо угроз безопасности?

2. Можете ли вы опубликовать политику корзины? (Исключить имя сегмента) Это определенно не «в целом безопасно», учитывая только информацию, которую вы опубликовали до сих пор. Определенно, это плохая практика и, вероятно, нет необходимости монтировать s3 как локальную файловую систему, чтобы предоставлять статический контент веб-клиентам. Если вы загружаете файлы на s3 любым другим способом, кроме монтирования в fs, вам не придется так сильно беспокоиться о разрешениях доступа к файлам.

3. я включаю все службы для s3 в моем списке политик корзины

4. Можете ли вы вставить политику?

5. { «Версия»: «2012-10-17», «Идентификатор»: «Policy1111», «Заявление»: [ { «Sid»: «private_id», «Эффект»: «Разрешить», «Принципал»: » «, «Действие»: «s3: «, «Ресурс»: «arn: aws: s3:::sample/*» } ] }