Amazon SNS 的安全最佳实践 - Amazon Simple Notification Service
预防性最佳实践
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon SNS 的安全最佳实践

Amazon 为 Amazon SNS 提供了许多安全功能。在您自己的安全策略的上下文中查看这些安全功能。

注意

有关这些安全功能的指南适用于常见的应用场景和实施。我们建议您在特定应用场景、架构和威胁模型的上下文中查看这些最佳实践。

预防性最佳实践

以下是针对 Amazon SNS 的预防性安全最佳实践。

确保主题不可公开访问

除非您明确要求互联网上的任何人能够阅读或写入您的 Amazon SNS 主题,否则应确保您的主题不可公开访问(世界上所有人或任何经过身份验证的 Amazon 用户都可以访问)。

  • 避免创建 Principal 设置为 "" 的策略。

  • 避免使用通配符 (*)。相反,对一个特定用户或多个用户命名。

实施最低权限访问

授予权限后,您可以决定这些权限的接收者、权限所针对的主题以及要允许这些主题使用的特定 API 操作。实施最低权限原则对于降低安全风险至关重要。它还有助于减少错误或恶意意图的负面影响。

遵循授予最低权限的标准安全建议。也就是说,只授予执行特定任务所需的权限。您可以通过使用与用户访问相关的安全策略组合来实施最低权限。

Amazon SNS 使用发布者-订阅者模型,需要三种类型的用户账户访问:

  • 管理员 – 用于创建、修改和删除主题的访问权。管理员还控制主题策略。

  • 发布者 – 用于向主题发送消息的访问权。

  • 订阅者 – 用于订阅主题的访问权。

有关详细信息,请参阅以下章节:

对需要 Amazon SNS 访问权限的应用程序和 Amazon 服务使用 IAM 角色

要使应用程序或 Amazon 服务(例如 Amazon EC2)访问亚马逊 SNS 主题,它们必须在 Amazon API 请求中使用有效的 Amazon 证书。由于这些证书不会自动轮换,因此您不应将 Amazon 证书直接存储在应用程序或 EC2 实例中。

您应该使用 IAM 角色来管理需要访问 Amazon SNS 的应用程序或服务的临时凭证。在使用角色时,您不需要将长期凭证(如用户名、密码和访问密钥)分配给 EC2 实例或 Amazon 服务(例如 Amazon Lambda)。相反,该角色提供临时权限,供应用程序在调用其他 Amazon 资源时使用。

有关更多信息,请参阅 IAM 用户指南中的 IAM 角色角色的常见场景:用户、应用程序和服务

实施服务器端加密

要减少数据泄漏问题,可以通过静态加密,使用存储在与消息存储位置不同的位置的密钥来对消息进行加密。服务器端加密 (SSE) 提供静态数据加密。Amazon SNS 在存储消息时将在消息级别对数据进行加密,并在您访问消息时为您解密消息。SSE 使用中管理的密钥 Amazon Key Management Service。当您对请求进行身份验证并具有访问权限时,访问加密主题和未加密主题之间没有区别。

有关更多信息,请参阅 静态加密密钥管理

实施传输中数据加密

可以但不建议使用 HTTP 发布在传输过程中未加密的消息。但是,当使用对主题进行静态加密时 Amazon KMS,需要使用 HTTPS 来发布消息,以确保静态和传输中的消息都要加密。虽然该主题不会自动拒绝 HTTP 消息,但必须使用 HTTPS 来维护安全标准。

Amazon 建议您使用 HTTPS 而不是 HTTP。使用 HTTPS 时,消息将在传输过程中自动加密,即使 SNS 主题本身没有加密。如果没有 HTTPS,基于网络的攻击者就可以窃听网络流量或使用诸如之类的攻击来操纵网络流量。 man-in-the-middle

要仅通过 HTTPS 强制实施加密连接,请将 aws:SecureTransport 条件添加到已附加到未加密 SNS 主题的 IAM 策略中。这会强制消息发布者使用 HTTPS 而不是 HTTP。您可以使用以下示例策略作为指导:

{
  "Id": "ExamplePolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPublishThroughSSLOnly",
      "Action": "SNS:Publish",
      "Effect": "Deny",
      "Resource": [
        "arn:aws:sns:us-east-1:1234567890:test-topic"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      },
      "Principal": "*"
    }
  ]
}

考虑使用 VPC 终端节点来访问 Amazon SNS

如果您的主题必须能够与您交互,但这些主题绝对不能暴露在 Internet 上,则可使用 VPC 终端节点将主题访问限制为仅访问特定 VPC 中的主机。您可以使用主题策略控制从特定 Amazon VPC 终端节点或特定 VPC 对主题的访问。

Amazon SNS VPC 终端节点提供两种方式来控制对消息的访问:

  • 您可以控制允许通过特定 VPC 端点访问的请求、用户或组。

  • 您可以使用主题策略控制哪些 VPC 或 VPC 终端节点有权访问您的主题。

有关更多信息,请参阅 创建终端节点为 Amazon SNS 创建 Amazon VPC 终端节点策略

确保订阅未配置为提供原始 http 终端节点

避免将订阅配置为传输到原始 http 终端节点。始终将订阅传输到终端节点域名。例如,配置为向终端节点 http://1.2.3.4/my-path 传输的订阅应该更改为 http://my.domain.name/my-path