상호작용 및 완화 로깅

미리 서명된 URL에는 서명이 포함되어 있으며 만료 전 기간 동안 서명했던 특정 API 작업을 수행하는 데 사용할 수 있습니다. 임시 액세스 자격 증명으로 취급해야 합니다. 서명은 알아야 하는 당사자만 비공개로 유지해야 합니다. 대부분의 환경에서 이는 요청을 보내는 클라이언트와 요청을 수신하는 서버입니다. HTTPS 세션의 참가자만 서명을 전송하는 URI를 볼 수 있기 때문에 직접 HTTPS 세션의 일부로 서명을 전송하면 프라이빗 속성이 유지됩니다.

미리 서명된 URLs의 경우 서명은 X-Amz-Signature 쿼리 문자열 파라미터로 전송됩니다. 쿼리 문자열 파라미터는 URI의 구성 요소입니다. 클라이언트가 URI와 서명을 기록할 수 있다는 위험이 있습니다. 클라이언트는 전체 HTTP 요청에 액세스할 수 있으며 요청, 데이터 및 헤더(인증 헤더 포함)의 일부를 로깅할 수 있습니다. 그러나 이는 규칙상 덜 일반적입니다. URI 로깅은 더 일반적이고 액세스 로깅과 같은 경우에 필요합니다. 클라이언트는 URIs.

일부 환경에서는 사용자가 중간자(프록시)가 HTTPS 세션을 볼 수 있도록 허용합니다. 프록시를 활성화하려면 구성 및 신뢰할 수 있는 인증서가 필요하므로 클라이언트 시스템에 대한 높은 수준의 권한 있는 액세스가 필요합니다. 클라이언트 중개 환경의 로컬 컨텍스트 내에서 프록시 구성 및 신뢰할 수 있는 인증서를 설치하면 매우 높은 수준의 권한이 허용됩니다. 이러한 이유로 이러한 중개자에 대한 액세스를 엄격하게 제어해야 합니다.

중개자의 목적은 일반적으로 원치 않는 송신을 차단하고 다른 송신을 추적하는 것입니다. 따라서 이러한 중개자는 요청을 로깅하는 것이 일반적입니다. 중개자는 클라이언트와 마찬가지로 콘텐츠, 헤더 및 데이터(모두 매우 민감함)를 로깅할 수 있지만 X-Amz-Signature 쿼리 문자열 파라미터를 포함하는 URIs를 로깅하는 것이 더 일반적입니다.

완화

URI 로깅은 X-Amz-Signature 쿼리 문자열 파라미터를 수정하거나, 전체 쿼리 문자열을 수정하거나, 중개 서버에 대한 직접 액세스와 마찬가지로 정보를 극비로 취급하는 것이 좋습니다. 이러한 보호는 적극 권장되지만 미리 서명된 URLs이 만료되면 서명이 만료될 때까지 노출이 충분히 지연되는 한 로그 노출 위험이 완화됩니다.

또한 Amazon S3는 서명을 보고 적절하게 처리해야 합니다. Amazon S3 서버 액세스 로그에는 요청 URI가 포함되지만 권장 사항에 X-Amz-Signature따라를 수정합니다. Amazon S3에 대해 CloudTrail 데이터 이벤트가 로깅되는 경우에도 마찬가지입니다. 사용자 지정 데이터 식별자를 사용하여 데이터를 마스킹하도록 Amazon CloudWatch Logs를 구성할 수 있습니다. https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL-custom-data-identifiers.html

다음 정규식은 URI에 나타나는 X-Amz-Signature와 일치합니다.

X-Amz-Signature=[a-f0-9]{64}

다음 정규 표현식은 보다 구체적으로 대체할 텍스트를 식별하는 그룹화 패턴을 추가합니다.

(?:X-Amz-Signature=)([a-f0-9]{64})

다음과 같은 액세스 로그 항목이 있는 경우:

X-Amz-Signature=733255ef022bec3f2a8701cd61d4b371f3f28c9f193a1f02279211d48d5193d7

첫 번째 정규 표현식은 액세스 로그 항목을 다음과 같이 변환합니다.

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 

캡처되지 않은 그룹을 지원하는 시스템에서 두 번째 정규 표현식은 액세스 로그 항목을 다음과 같이 변환합니다.

X-Amz-Signature=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX