Amazon SNS 的安全最佳实践 - Amazon Simple Notification Service
预防性最佳实践
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon SNS 的安全最佳实践

Amazon 提供了 Amazon SNS 的许多安全功能。在您自己的安全策略的上下文中查看这些安全功能。

注意

有关这些安全功能的指南适用于常见的应用场景和实施。我们建议您在特定应用场景、架构和威胁模型的上下文中查看这些最佳实践。

预防性最佳实践

以下是针对 Amazon SNS 的预防性安全最佳实践。

确保主题不可公开访问

除非您明确要求 Internet 上的任何人都可以读取或写入 Amazon SNS 主题,否则应确保主题不可公开访问(可供世界上的每个人或任何经过身份验证的 Amazon 用户访问)。

  • 避免创建 Principal 设置为 "" 的策略。

  • 避免使用通配符 (*)。相反,对一个特定用户或多个用户命名。

实施最低权限访问

授予权限后,您可以决定这些权限的接收者、权限所针对的主题以及要允许这些主题使用的特定 API 操作。实施最低权限原则对于降低安全风险至关重要。它还有助于减少错误或恶意意图的负面影响。

遵循授予最低权限的标准安全建议。也就是说,只授予执行特定任务所需的权限。您可以通过使用与用户访问相关的安全策略组合来实施最低权限。

Amazon SNS 使用发布者-订阅者模型,需要三种类型的用户账户访问:

  • 管理员 – 用于创建、修改和删除主题的访问权。管理员还控制主题策略。

  • 发布者 – 用于向主题发送消息的访问权。

  • 订阅者 – 用于订阅主题的访问权。

有关详细信息,请参阅以下章节:

为需要 Amazon SNS 访问权限的应用程序和 Amazon 服务使用 IAM 角色

对于访问 Amazon SNS 主题的应用程序或 Amazon 服务(例如 Amazon EC2),它们必须在其 Amazon API 请求中使用有效 Amazon 凭证。由于这些凭证不会自动轮换,因此您不应将 Amazon 凭证直接存储在应用程序或 EC2 实例中。

您应该使用 IAM 角色来管理需要访问 Amazon SNS 的应用程序或服务的临时凭证。在使用角色时,您不需要将长期凭证(如用户名、密码和访问密钥)分配给 EC2 实例或 Amazon 服务(例如 Amazon Lambda)。相反,角色可提供临时权限供应用程序在调用其他 Amazon 资源时使用。

有关更多信息,请参阅 IAM 用户指南中的 IAM 角色角色的常见场景:用户、应用程序和服务

实施服务器端加密

要减少数据泄漏问题,可以通过静态加密,使用存储在与消息存储位置不同的位置的密钥来对消息进行加密。服务器端加密 (SSE) 提供静态数据加密。Amazon SNS 在存储消息时将在消息级别对数据进行加密,并在您访问消息时为您解密消息。SSE 使用 Amazon Key Management Service 中托管的密钥。当您对请求进行身份验证并具有访问权限时,访问加密主题和未加密主题之间没有区别。

有关更多信息,请参阅 静态加密密钥管理

实施传输中数据加密

可以但不建议使用 HTTP 发布在传输过程中未加密的消息。但是,在发布到加密的 SNS 主题时,您不能使用 HTTP。

Amazon 建议您使用 HTTPS 而不是 HTTP。使用 HTTPS 时,消息将在传输过程中自动加密,即使 SNS 主题本身没有加密。如果没有 HTTPS,基于网络的攻击者便能使用中间人之类的攻击来窃听或操纵网络流量。

要仅通过 HTTPS 强制实施加密连接,请将 aws:SecureTransport 条件添加到已附加到未加密 SNS 主题的 IAM 策略中。这会强制消息发布者使用 HTTPS 而不是 HTTP。您可以使用以下示例策略作为指导:

{
  "Id": "ExamplePolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPublishThroughSSLOnly",
      "Action": "SNS:Publish",
      "Effect": "Deny",
      "Resource": [
        "arn:aws:sns:us-east-1:1234567890:test-topic"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      },
      "Principal": "*"
    }
  ]
}

考虑使用 VPC 终端节点来访问 Amazon SNS

如果您的主题必须能够与您交互,但这些主题绝对不能暴露在 Internet 上,则可使用 VPC 终端节点将主题访问限制为仅访问特定 VPC 中的主机。您可以使用主题策略控制从特定 Amazon VPC 终端节点或特定 VPC 对主题的访问。

Amazon SNS VPC 终端节点提供两种方式来控制对消息的访问:

  • 您可以控制允许通过特定 VPC 端点访问的请求、用户或组。

  • 您可以使用主题策略控制哪些 VPC 或 VPC 终端节点有权访问您的主题。

有关更多信息,请参阅 创建终端节点为 Amazon SNS 创建 Amazon VPC 终端节点策略

确保订阅未配置为提供原始 http 终端节点

避免将订阅配置为传输到原始 http 终端节点。始终将订阅传输到终端节点域名。例如,配置为向终端节点 http://1.2.3.4/my-path 传输的订阅应该更改为 http://my.domain.name/my-path