AWS 通知我我的访问和私钥是公开的
AWS informed me that my access and private keys are publicly available
我惊恐发作了。
AWS 给我发了一封邮件,其中包括:
“*我们发现您的 AWS 访问密钥 ***************** 以及您的密钥 public 仅可用。*”
"publicly available" 是什么意思?它们是否被意外推送到 Github 或另一个 public 代码共享存储库?如果是这样,如何检查它确实存在的位置(谁做的,如何做的以及何时做的)以防止再次发生这种情况?
如何具体检查我的凭据是否public不公开?我正在寻找具体的工作流程,而不是最佳实践建议。
感谢您要求 "concrete workflows, not the best practise advices",但您现在可以遵循的最具体的工作流程是访问您的 IAM 控制台,转到您的访问密钥,然后轮换这些密钥。试图验证 AWS 是否错误在我看来就像是在为失误找借口,我也无意冒犯该评论。没有冒犯,但如果您有可公开访问的访问密钥,在您不确定的位置(由于您的问题,我认为这是一个主要问题),那么您需要考虑修复首先是问题,然后在有时间解决问题时找出问题发生的位置。
关于您关于 "what do they mean by publicly accessible?" 的问题,他们的意思是互联网上不应访问您的 AWS 帐户凭据的人可能通过使用以下方式访问您的 AWS 帐户暴露的凭据。我会跳出(我认为非常合乎逻辑的)说法是,如果您的凭据被公开,那么对您帐户的访问就会被公开,这当然取决于这些凭据的范围。 IE:如果您的访问密钥是管理员私有的,那么您需要尽快将这些东西切换出去,并且您需要观察 CloudTrail(如果已启用)以进行 unauthorised/unwanted API 调用。
我惊恐发作了。
AWS 给我发了一封邮件,其中包括: “*我们发现您的 AWS 访问密钥 ***************** 以及您的密钥 public 仅可用。*”
"publicly available" 是什么意思?它们是否被意外推送到 Github 或另一个 public 代码共享存储库?如果是这样,如何检查它确实存在的位置(谁做的,如何做的以及何时做的)以防止再次发生这种情况?
如何具体检查我的凭据是否public不公开?我正在寻找具体的工作流程,而不是最佳实践建议。
感谢您要求 "concrete workflows, not the best practise advices",但您现在可以遵循的最具体的工作流程是访问您的 IAM 控制台,转到您的访问密钥,然后轮换这些密钥。试图验证 AWS 是否错误在我看来就像是在为失误找借口,我也无意冒犯该评论。没有冒犯,但如果您有可公开访问的访问密钥,在您不确定的位置(由于您的问题,我认为这是一个主要问题),那么您需要考虑修复首先是问题,然后在有时间解决问题时找出问题发生的位置。
关于您关于 "what do they mean by publicly accessible?" 的问题,他们的意思是互联网上不应访问您的 AWS 帐户凭据的人可能通过使用以下方式访问您的 AWS 帐户暴露的凭据。我会跳出(我认为非常合乎逻辑的)说法是,如果您的凭据被公开,那么对您帐户的访问就会被公开,这当然取决于这些凭据的范围。 IE:如果您的访问密钥是管理员私有的,那么您需要尽快将这些东西切换出去,并且您需要观察 CloudTrail(如果已启用)以进行 unauthorised/unwanted API 调用。