Сегодня во время проверки настроек безопасности друга я обнаружил, что папка Amazon (корзина s3) с его самыми личными файлами имела нераспознанную запись ACL.
Человек (с идентификатором, заканчивающимся на f6995f) имел доступ "Запись" к бакету. Странно, но нет доступа на чтение или список.
Имя пользователя не отображается. Просто буквенно-цифровой "канонический идентификатор" субъекта, имеющего доступ.
Что ему делать? Он не может связаться с AWS, потому что
В рамках базового плана поддержки вы можете создавать запросы на поддержку аккаунта и выставление счетов, а также запросы на увеличение лимита обслуживания, но не можете создавать запросы на техническую поддержку.
Есть ли способ узнать человека, стоящего за каноническим идентификатором? Хотя бы страну/местоположение/IP?
решение1
Документация AWS по адресуhttps://docs.aws.amazon.com/AmazonS3/latest/dev/example-walkthroughs-managing-access-example4.htmlговорит:
Канонический идентификатор пользователя — это концепция, присущая только Amazon S3. Это 64-символьная обфусцированная версия идентификатора аккаунта.
Следовательно, вы не сможете ничего извлечь из канонического идентификатора пользователя, поскольку он почти наверняка представляет собой односторонний хэш (например, SHA-256) чего-то другого, включая ARN пользователя.
Попробуйте выполнить эту команду и посмотрите, получите ли вы элемент «DisplayName» для пользователя:
$ aws s3api get-bucket-acl --bucket BUCKETNAME
Источник:https://forums.aws.amazon.com/thread.jspa?threadID=286019
(Если в вашем браузере есть файлы cookie консоли AWS, необходимо выполнить вход, поэтому либо войдите в систему при появлении соответствующего запроса, либо используйте приватное окно.)