Recientemente recibí un correo electrónico para decirme que algunas conexiones de IE tienen acceso a mi depósito:
eu-central-1|media.myapp | REST.GET.OBJECT|TLSv1|9|[Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NE
eu-central-1|media.myapp | REST.GET.OBJECT|TLSv1|54|[Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; InfoPath.1; .NET CLR 3.5.30729; .NET CLR 3.0.30618; .NET4.0C;
Pero quiero saber qué son estos dispositivos y qué IP utilizan para diagnosticar la causa del problema (infraestructura heredada, sin documentos). ¿Existe alguna forma de mantener un registro de acceso a qué cuentas y dispositivos de IAM bajo qué IP y MAC reciben elementos de mi depósito?
Respuesta1
No estoy seguro de haber entendido bien su pregunta, pero si pregunta cómo permitir que solo ciertos usuarios o IP accedan a su depósito S3 (y supongo que se refiere a la Internet pública), aquí está un bloque de una política de depósito que he usado para permitir, por ejemplo, solo direcciones IP públicas a las que quiero acceder al depósito:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::<bucket name>/*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"<first IP/32",
"<second IP>/32",
"<third IP>/32",
"<fourth IP>/32"
]
}
}
}
]
}
Con suerte, eso al menos puede indicarle la dirección correcta.
Respuesta2
La Guía del usuario de Amazon S3 explica el registro de solicitudes.
El registro de acceso al servidor proporciona registros detallados de las solicitudes que se realizan a un depósito. Los registros de acceso al servidor son útiles para muchas aplicaciones. Por ejemplo, la información del registro de acceso puede resultar útil en auditorías de seguridad y acceso.
https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html
No podrá aprender las direcciones MAC, ya que nunca se transmiten a través de Internet, pero se capturará la dirección IP del dispositivo (o la dirección NAT pública si el dispositivo está detrás de un enrutador NAT). Para identificar dispositivos específicos en la LAN detrás de un enrutador NAT se requiere acceso a los dispositivos y/o al enrutador.
Los registros también capturarán las credenciales de IAM utilizadas, si las hay, para acceder al objeto.
No se puede aprender nada más sobre los dispositivos desde el lado de AWS, más allá de lo que se encuentra en estos registros.
Presumiblemente, el correo electrónico al que se refiere está relacionado con el hecho de que estos dispositivos utilizan TLSv1, cuyo soporte AWS dejará de ofrecer pronto.
Para responder a la evolución de la tecnología y los estándares regulatorios para la seguridad de la capa de transporte (TLS), actualizaremos la configuración de TLS para todos los puntos finales de la API de servicios de AWS a un mínimo de la versión TLS 1.2. Esta actualización significa que ya no podrá utilizar las versiones 1.0 y 1.1 de TLS con todas las API de AWS en todas las regiones de AWS antes del 28 de junio de 2023.
https://aws.amazon.com/blogs/security/tls-1-2-required-for-aws-endpoints/
Puede bloquear versiones antiguas de TLS ahora, antes de que los cambios de API entren en vigor, con una opción adecuadanegar política. Potencialmente, esto le ayudaría a identificar los dispositivos en los informes de problemas. Al agregar y eliminar periódicamente la política por ahora, es posible que pueda identificar los dispositivos sin causar una interrupción permanente, como sucederá cuando AWS implemente los cambios de API. S3 seguirá registrando las solicitudes denegadas, pero recibirán una respuesta HTTP 403 y un error de AccessDenied.