Nic*_*ers 2 security amazon-ec2 amazon-web-services
背景:我的公司有私有 API,我们只向需要访问它的员工和供应商公开。话虽如此,其中有几个部分不需要登录即可查看,即状态检查和登录端点。
作为调试的一部分,现在我们在发生任何错误时都包含 AWS 实例 ID。以下是 API 在登录失败时可能返回的信息示例:
注意:这是伪数据,我们的实际 API 响应是不同的。
{
"status": {
"code": 400,
"name": "Bad Request",
"description": "This request is missing data or contains invalid information."
},
"error_data": {
"environment": "PRODUCTION",
"instance": "i-0b22b2d35aaaaaaaa",
"message": "Failed to login"
}
}
过去,我们发现这对于跟踪 EC2 特定问题(通常是内存不足、磁盘空间不足和/或需要重新启动 nginx)非常有用。
我的问题:公开 AWS 实例 ID 是否会导致任何安全问题和/或是否有任何理由不这样做?
如果不应该公开实例 ID,如果有更好的方法来识别单个实例也会有所帮助吗?
是的,公开 AWS 实例 ID 是安全的。
您可以在 AWS 论坛中找到许多 AWS 人员的帖子,要求用户发布他们的实例 ID 以便他们查看,然后他们就像“是的,我可以看到问题......”所以我想这是安全的。
这是一个例子:https : //forums.aws.amazon.com/thread.jspa?threadID=24525