アカウント名:
パスワード:
少し設定を変えるだけで公開状態になるような場所に、個人情報を置くな。
そういうアクセス権設定の概念を全否定するなら物理的に切り離すしかないんだけどな。事故らなければ不必要なコストが掛かる上に業務効率を大幅に下げることになるので無尽蔵に金が湧く組織以外は取れない選択肢。
仮想的にでも二重に後ろ側にあるネットワークに置けばいいだけじゃん。公開ネットワークと、DMZと、その後ろ側に分けるのはとても一般的。
S3にはどのネットワークに所属するみたいな概念はないのだが、正しく構築すれば- 明示的に与えられたアクセス権限が必要- 特定のVPC(ローカルネットワーク)からリクエストしたときだけアクセス可能とすることはできる。一度構築したらあとは設定を触れないようにIAM Userの権限を縛っておけばいい。
もちろん担当者は正しく設定したつもりだったでしょうに。だからこそ、ネットワークの分離の意味がある。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
設定を間違えたことが問題ではない (スコア:0)
少し設定を変えるだけで公開状態になるような場所に、個人情報を置くな。
Re: (スコア:0)
そういうアクセス権設定の概念を全否定するなら物理的に切り離すしかないんだけどな。
事故らなければ不必要なコストが掛かる上に業務効率を大幅に下げることになるので無尽蔵に金が湧く組織以外は取れない選択肢。
Re: (スコア:0)
仮想的にでも二重に後ろ側にあるネットワークに置けばいいだけじゃん。
公開ネットワークと、DMZと、その後ろ側に分けるのはとても一般的。
Re: (スコア:0)
S3にはどのネットワークに所属するみたいな概念はないのだが、正しく構築すれば
- 明示的に与えられたアクセス権限が必要
- 特定のVPC(ローカルネットワーク)からリクエストしたときだけアクセス可能
とすることはできる。
一度構築したらあとは設定を触れないようにIAM Userの権限を縛っておけばいい。
Re:設定を間違えたことが問題ではない (スコア:0)
もちろん担当者は正しく設定したつもりだったでしょうに。
だからこそ、ネットワークの分離の意味がある。