AWS S3 複寫策略(Replication Policies)
AWS S3 replication policy - 使用 Amazon S3 複寫在 AWS 區域內和區域間複寫資料。S3是一個高彈性、全受管、低成本的雲端服務,而複寫策略(Replication Policies)可以使得S3 bucket在不同的bucket或是不同帳戶下的bucket間複寫物件(object)。
注:如果兩個bucket要進行複寫,兩個bucket都要啟用版本控制。
Misconfiguration
配置錯誤引發的資料外洩,以下是權限都打開的配置。
Trust policy
在定義role的時候設定trust policy
|
|
AWS IAM roles
|
|
AWS Cli
模擬攻擊者複寫s3 bucket所有object方法
list object - 確認有s3:ListBucket權限
|
|
Get bucket ACL - 查看Object ACL權限
|
|
Download Object To Local - 嘗試下載檔案
|
|
Sync Object To another S3 bucket - 把s3 bucket所有資料都複寫到攻擊者創造或感染的s3 bucket
|
|
注:S3 GetObject調用會記錄在受害者的Cloudtrail數據事件中,但是S3 PutObject調用會記錄在攻擊者的Cloudtrail中,如此,受害者無法在AWS Cloudtrail中看到副本的S3複寫過程。