Лучше ли включать журналы доступа CloudFront и S3?

Question

Мы внедряем стационарный сайт c, размещенный на S3, за CloudFront с OAI. Как в CloudFront, так и в S3 может быть включено ведение журнала, и я пытаюсь определить, нужно ли / целесообразно ли включать ведение журнала для обоих.

Единственный доступ к S3, который не поступит из CloudFront, должен быть развертыванием сайта с нашего Конвейер CI / CD, который все еще может быть полезен для регистрации. Может быть, именно по этой причине может быть полезно найти какой-либо непреднамеренный доступ, который был не из CloudFront или развертываний? Недостатком, конечно, является то, что будет два набора журналов доступа, которые в основном перекрываются и добавляются к ежемесячному счету.

Нам нужно будет принять решение по этому вопросу, но любопытно, какой здесь консенсус.

Спасибо, Джон

Answer 1

Если вы используете CloudFront с исходной идентификацией доступа, то ваш сегмент может быть закрыт для всего мира.

Только OAI и любые другие пользователи, которых вы хотите, могут иметь доступ на чтение и отказывать другим пользователям в доступе к s3. корзина / файлы внутри корзины, в которой размещен веб-сайт stati c.

Это означает, что пользователю во всем мире необходимо обязательно пройти через облачный фронт и прямой доступ к корзине s3, и ее файлы будут запрещены.

Так что, если вы все правильно реализовали, вам не нужно включать ведение журнала доступа s3.

Однако значение безопасности известно только после того, как мы столкнулись с бедствием, просто взвесите и примите решение.

Ссылки:

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html