AWS S3 y 2-factor (multifactor)

2

Tengo un cliente que está buscando usar AWS S3 para la transferencia de archivos a otros clientes. Esos datos pueden tener algún tipo de datos protegidos en él.

Me gustaría configurar S3 para usar 2-factor o MFA para el inicio de sesión / conexión.

He visto un montón de documentos de AWS y he encontrado cómo utilizar MFA para evitar que se eliminen los datos de S3 ... He encontrado cómo proteger la cuenta de AWS con MFA, pero no es para Clientes accediendo a S3.

Veo que S3 usa una ID de acceso que es una cadena aleatoria larga y compleja, y una clave privada, que es más larga.

Preguntas
1. ¿Puedo configurar S3 para usar algún tipo de autenticación de 2 factores?
2. ¿El ID de acceso cuenta para el factor 2 ya que es aleatorio y no está vinculado al nombre de una persona ni a ninguna otra cosa?

¿Algún otro pensamiento?

    
pregunta MikeP 09.12.2016 - 21:08
fuente

2 respuestas

2

MFA no está diseñado para evitar la eliminación o cambio de archivos. El único objetivo es hacer que el robo de credenciales de los usuarios sea mucho más difícil.

Además, no configura MFA para el depósito S3 (u objeto), lo configura para un usuario. Los permisos para ese usuario están especificados por las ACL y las políticas.

De manera que puede "habilitar MFA para S3". Crear usuarios, habilitar MFA, asignar políticas. Pero las URL firmadas son más adecuadas para las necesidades de su cliente.

    
respondido por el Sergey Kovalev 09.12.2016 - 21:21
fuente
1
  

¿Puedo configurar S3 para usar algún tipo de autenticación de 2 factores?

No, porque S3 no tiene autenticación propia.

  

¿El ID de acceso cuenta para el factor 2 ya que es aleatorio y no está vinculado al nombre de una persona o cualquier otra cosa?

No, los factores en la "autenticación de dos factores" son diferentes tipos de cosas; por lo general, para 2FA es algo que sabes (una contraseña, una clave secreta) y algo que tiene (un dispositivo de hardware OTP). La razón por la que se recomienda el uso de múltiples facetas es que a un atacante le resulta difícil obtener acceso a los tipos ambos : un ladrón físico puede robar su teléfono o llavero, pero no sabrá su contraseña. y un atacante remoto puede robar su contraseña o clave secreta pero no tendrá acceso a su dispositivo OTP.

Además, los pares de clave secreta / clave de Amazon son la cosa única que necesita para acceder a la API de AWS (no necesita saber el nombre del usuario), por lo que no solo no es un segundo factor, pero es el factor único .

Como primer paso, es una muy buena idea en la mayoría de los casos habilitar control de versiones de cubeta S3 . Esto almacenará las versiones anteriores de los archivos, lo que aumenta los costos de almacenamiento, pero puede ser un salvavidas si borra algo importante accidentalmente.

En una sola cuenta de Amazon, puede crear subcuentas y administrarlas con IAM. Por lo general, esta es la forma en que debe administrar varios usuarios, en lugar de darles acceso compartido a la misma cuenta. Con IAM, puede agregar los permisos mínimos necesarios para cada usuario asignando las políticas adecuadas . Por lo tanto, si un cliente necesita poder leer archivos protegidos, pero no necesita escribirles, solo puede darles permiso de lectura y, por lo tanto, cualquier infracción de sus credenciales solo dará acceso de lectura al atacante. Del mismo modo, puede proporcionar acceso de escritura sin eliminar. También puede abarcar los permisos de S3 por vía de acceso a archivos y, en general, tiene mucha flexibilidad para orientar precisamente lo que necesita.

    
respondido por el Xiong Chiamiov 09.12.2016 - 22:15
fuente

Lea otras preguntas en las etiquetas