Знайте личность канонического идентификатора AWS

Question

Знайте личность канонического идентификатора AWS

Сегодня, проверяя настройки безопасности друзей, я обнаружил, что папка Amazon (корзина s3) с его самыми личными файлами имеет нераспознанную запись ACL.

У человека (с идентификатором, оканчивающимся на f6995f) был доступ "Запись" к корзине. Странно нет доступа к чтению или списку.

Там нет имени показано как имя пользователя. Просто буквенно-цифровой "канонический идентификатор" объекта, который имеет доступ.

Что он должен сделать? Он не может связаться с AWS, потому что

В Базовом плане поддержки вы можете создавать случаи поддержки учетных записей и биллинга, а также запросы на увеличение лимита обслуживания, но не можете создавать случаи технической поддержки.

Есть ли способ узнать человека за каноническим идентификатором? По крайней мере, страна / местоположение /IP?

7

amazon-web-services amazon-s3 access-control

Источник

american-ninja-warrior 22 мар '19 в 16:06

1 ответ

Другие вопросы по тегам amazon-web-services amazon-s3 access-control

Alastair Irvine 22 мар '19 в 17:57 2019-03-22 17:57 · Answer 1 · 2019-03-22 17:57

Документация AWS по адресу https://docs.aws.amazon.com/AmazonS3/latest/dev/example-walkthroughs-managing-access-example4.html гласит:

Канонический идентификатор пользователя - это концепция Amazon S3-only. Это 64-символьная запутанная версия идентификатора учетной записи.

Поэтому вы ничего не можете получить из канонического идентификатора пользователя, потому что это почти наверняка односторонний хеш (например, SHA-256) некоторых других вещей, включая ARN пользователя.

Попробуйте эту команду и посмотрите, получите ли вы элемент "DisplayName" для пользователя:

$ aws s3api get-bucket-acl --bucket BUCKETNAME

Источник: https://forums.aws.amazon.com/thread.jspa?threadID=286019
(Требуется вход в систему, если в вашем браузере есть файлы cookie консоли AWS, поэтому войдите в систему при появлении запроса или используйте личное окно.)