IAM und Bucket-Richtlinie für S3-Zugriff

Ich habe festgestellt, dass alle von mir gefundenen Tutorials für den S3-Zugriff von Discourse dem Benutzer absolute Befugnisse über den Bucket erteilt haben – sie erlauben die Berechtigung ‘s3:*’.

Dies ist eine äußerst unkluge Richtlinie, da sie eine deutlich größere Kontrolle über den Bucket ermöglicht, als vernünftig ist. Sollten Sie S3 für die Discourse-Backup-Speicherung verwenden, könnte ein wütender Angreifer auf dem Weg hinaus Ihren Bucket und Ihre Backups löschen.

Es gibt zwei Möglichkeiten, dem entgegenzuwirken: Erstens eine restriktivere Richtlinie…

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:List*",
                "s3:Get*",
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::whatever-bucket",
                "arn:aws:s3:::whatever-bucket/*"
            ]
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:HeadBucket"
            ],
            "Resource": "*"
        }
    ]
}

… und zweitens einige sinnvolle Vorsichtsmaßnahmen in die Bucket-Richtlinie aufnehmen. (Dies geht tatsächlich weit über das absolute Minimum hinaus, das erforderlich wäre, aber ich hatte es eilig und keine Zeit zum Experimentieren, und es ist besser als das, was ich gefunden habe.) Ich empfehle, die Versionsverwaltung zu aktivieren und anschließend eine Lebenszyklusregel für „vorherige Versionen" festzulegen, die diese nach einer angemessenen Zeit, beispielsweise 21 Tagen, entfernt. Die angegebene Richtlinie würde die Protokolldrehung und das Löschen von Dateien zulassen, aber sie würde dem mit S3-Anmeldedaten ausgestatteten Benutzer keinen Zugriff auf die Wiederherstellung oder das Löschen vorheriger Versionen gewähren. Das bedeutet, dass ein Angreifer zwar ein Backup löschen könnte, aber nicht in der Lage wäre, es aus dem Versionsverlauf zu entfernen, bevor ein Administrator mit Root-Anmeldedaten es wiederherstellen kann.

Vielen Dank!

This is good advice, certainly, but I’m unsure Discourse should really be considered responsible for giving out advice about S3 best practices?

We could put a note / reminder in the help text for the field, if it can be kept short.

Oh, I’m sorry – I wasn’t trying to suggest you /should/ be; certainly I don’t know where you’d put it. I just found that when I Googled “Discourse S3 IAM” all of the example policies were the same awful wide-open one, so I’m reporting what I did instead of that.

(That’s why I seperated this thread from the other.)

Were those examples here on meta.discourse.org? If they’re in a howto you might be able to edit them, or you could draft your own and get it moved into #howto:sysadmin.

My take on this is that our responsibility for S3 advice is about the same as our advice on things like TLS configs (which we do update on occasion). We should try to stay “safe by default”, because we know that just about everyone’s going to blindly use whatever we suggest, because very few people know what any of this magic actually does. Our as-close-to-official-as-we-get guide on setting up S3 does suggest using the wide-open policy, so I’ll fix that up to be more sensible.

@Asher_Densmore-Lynn: if you find any other examples of problematic IAM policies floating around anywhere we can control (here on meta, git repos under the discourse GitHub user, that sort of thing), feel free to let us (me) know (with a specific reference to what’s problematic; everyone’s Google search results are different), and I’ll get it fixed.

Sure, and thanks! I hope you add the part about the bucket versioning – keeping your backups safe from catastrophe is hard to do when you have to allow rotation and deletion. If you need me to go into more detail or explain it better I’ll be happy to oblige.

One thing to bear in mind is that the howto I linked above is about asset upload, not backups. The policy required for that is likely to be somewhat different to one required for backups. Also, that howto assumes that Discourse will be creating the bucket, and adding instructions on manually adding versioning and rotation would significantly complicate what is already a bit of a bear of a process. If the versioning/rotation settings can be set at creation time (without opening up the IAM policy to allow an attacker to remove those attributes later), then a PR to Discourse to add that ability (even by default) wouldn’t be a bad idea. Otherwise, I think it’s best if you write a separate “Discourse S3 201: Securitay!” topic, that can be linked from the main howto.

I looked at that setup guide – be aware that that bucket creation will fail with those permissions. You’ll want to add s3:CreateBucket if that’s something you want to keep.

I already added that action.