Score:1

นโยบาย S3 ที่อนุญาตโดย IP ไม่สามารถเปลี่ยนแปลงได้

ธง ua

เรามีบัคเก็ต S3 ที่มีเนื้อหาเว็บไซต์ให้บริการแก่สาธารณะผ่านพร็อกซีแคช การเข้าถึงบัคเก็ตจำกัดเฉพาะ IP ที่พร็อกซีใช้ ทั้งหมดนี้ทำงานได้ดี

มีการเพิ่ม IP ใหม่ไปยังพร็อกซีเมื่อเร็วๆ นี้ แต่เราไม่สามารถเพิ่ม IP เหล่านั้นลงในนโยบายได้ การแก้ไขนโยบายโดยตรงจะให้ "การอนุญาตที่ถูกปฏิเสธ" ไม่ว่าผู้ใช้จะมีสิทธิ์ใดก็ตาม เราพบว่าเราสามารถแก้ไขปัญหานี้ได้โดยการเลิกบล็อกการเข้าถึงบัคเก็ตแบบสาธารณะเป็นการชั่วคราว อย่างไรก็ตาม หากเราเพิ่ม IP ใหม่ หลังจากปิดกั้นการเข้าถึงสาธารณะอีกครั้ง เราจะค้นพบสิ่งนั้น ทั้งหมด คำขอถูกบล็อก หากเราย้อนกลับการเปลี่ยนแปลงนโยบายกลับไปเป็นรายการ IP เดิม นโยบายก็จะกลับไปทำงาน

นโยบายค่อนข้างพื้นฐานและมีลักษณะดังนี้ (แก้ไขเพื่อความเป็นส่วนตัว):

{
    "เวอร์ชัน": "2012-10-17",
    "รหัส": "ถังของฉัน",
    "คำแถลง": [
        {
            "ซิด": "IPallow",
            "เอฟเฟกต์": "อนุญาต",
            "อาจารย์ใหญ่": "*",
            "การกระทำ": "s3:*",
            "ทรัพยากร": "arn:aws:s3:::my-bucket/*",
            "เงื่อนไข": {
                "ที่อยู่ IP": {
                    "aws:SourceIp": [
                        "23.235.32.0/20",
                        "43.249.72.0/22",
                        "103.244.50.0/24",
                        "103.245.222.0/23",
                        "103.245.224.0/24",
                        "104.156.80.0/20",
                        "140.248.64.0/18",
                        "140.248.128.0/17",
                        "146.75.0.0/17",
                        "151.101.0.0/16",
                        "157.52.64.0/18",
                        "167.82.0.0/17",
                        "167.82.128.0/20",
                        "167.82.160.0/20",
                        "167.82.224.0/20",
                        "172.111.64.0/18",
                        "185.31.16.0/22",
                        "199.27.72.0/21",
                        "199.232.0.0/16",
                        "2a04:4e40::/32",
                        "2a04:4e42::/32"
                    ]
                }
            }
        }
    ]
}
ua flag
หลังจากลองผิดลองถูกอยู่หลายครั้ง ดูเหมือนว่าจะล้มเหลวเมื่อเรามีช่วง IPv6 2 ช่วงท้ายรายการ
cn flag
ฟังดูเหมือนเป็นการหลบหนีข้อผิดพลาดหรือจุดบกพร่องสำหรับฉัน!
cn flag
ช่วง IPv6 ของเน็ตมาสก์มีอะไรบ้าง
ua flag
@ shearn89 - ฉันได้อัปเดตคำถามด้วย IP จริงที่ใช้แล้ว นำมาจากรายการที่อยู่ IP สาธารณะของ Fastly
Score:0
ธง cn

ฉันคิดว่าคุณอาจจะโดน นี้.

ฉันเชื่อว่าถ้าคุณมีรายการ IP จำนวนมาก และ คุณมี ปิดกั้นการเข้าถึงสาธารณะ เปิดที่ระดับบัญชี แล้วคุณจะพบกับกรณีขอบนี้

เมื่อเปิด BPA แล้ว S3 จะตรวจสอบนโยบายเพื่อป้องกันไม่ให้ผู้อื่นอนุญาต 0/0 หรือคล้ายกัน.สำหรับช่วงหรือรายการ IP ที่ใหญ่พอ การตรวจสอบที่ S3 ใช้อยู่เบื้องหลังเพื่อระบุ 'สาธารณะ' จะมีช่วงที่กว้างเกินไปที่จะตรวจสอบ และจะหมดเวลาหรือเกิดข้อผิดพลาด

หากคุณสามารถจำกัดช่วงของคุณให้แคบลงหรือหาวิธีอื่นในการปกป้องข้อมูลได้ คุณก็น่าจะโอเค

ua flag
ฉันได้อัปเดตคำถามแล้ว เรามี 21 ช่วง เราพบว่าการทิ้งอันสุดท้ายทำให้มันทำงานได้ ดังนั้นคิดว่าบางที 2 IPv6 อาจก่อให้เกิดปัญหา แต่บางทีปัญหาคือคุณไม่สามารถมีมากกว่า 20 อัน? ทั้งหมดนี้ดูเหมือนจะเป็นตัวเลือกการออกแบบที่แย่มากในด้านของ AWS หากคุณไม่มีปัญหาด้านไวยากรณ์เมื่อบันทึกนโยบาย
ua flag
อันที่จริง ก่อนหน้านี้ฉันมีอายุประมาณ 17-18 ปี และการเพิ่ม IPv6 เดียวในการทดสอบหนึ่งครั้งดูเหมือนจะทำให้การทดสอบล้มเหลว
cn flag
ฉันคิดว่า IPv6 `/32` เป็นขีดจำกัดสำหรับ IPv6 ดังนั้นการมีช่วง IPv6 หลายช่วงจึงเป็นปัญหา ฉันขอแนะนำให้ติดต่อฝ่ายสนับสนุนของ AWS หากคุณมีความช่วยเหลือในการออกตั๋ว - ข้อเสนอแนะเพิ่มเติมที่อาจช่วยให้ชัดเจนยิ่งขึ้น
cn flag
ฉันสงสัยว่าหากคุณมีช่วง IPv6 เพียง 2 ช่วงและไม่มี IPv4 คุณยังคงพบปัญหาอยู่ มันไม่ใช่ปัญหาความยาวรายการ แต่เป็นปัญหาขนาดของช่วง!

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา