У меня есть корзина S3, определенная с помощью следующей политики -
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowReading",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::BUCKETNAME/*"
},
{
"Sid": "AllowWriting",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::000000000000:user/USERNAME"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::BUCKETNAME/*"
}
]
}
Эта корзина предназначена для хранения пользовательских загрузок, и ее содержимое в настоящее время должно быть доступно через стандартный URL-адрес. Каждый файл хранится в виде GUID (например, 64a5e486-e73a-4310-85ff-327f4618a176.jpg).
AWS, кажется, снова и снова предупреждает меня о том, что моя текущая политика в отношении общедоступного сегмента очень плохая, но, насколько я вижу,единственный публичный аспект - это чтение, которое я не вижу в качестве проблемы. Доступ к списку каталогов запрещен для публики, и только определенный пользователь IAM, которого я настроил, может записывать файлы в корзину.
Мой вопрос заключается в том, должен ли я настраивать корзину по-другому (с точки зрения безопасности) илиAWS просто слишком осторожен в своих предупреждениях?