语境:我的公司有私有 API,我们只向需要访问它的员工和供应商公开。话虽如此,其中有些部分不需要登录即可查看,即状态检查和登录端点。
作为调试的一部分,现在每当发生任何错误时,我们都会包含 AWS 实例 ID。以下是 API 在登录失败时可能返回的信息示例:
笔记:这是伪数据,与我们的实际 API 响应不同。
{
"status": {
"code": 400,
"name": "Bad Request",
"description": "This request is missing data or contains invalid information."
},
"error_data": {
"environment": "PRODUCTION",
"instance": "i-0b22b2d35aaaaaaaa",
"message": "Failed to login"
}
}
过去我们发现这对于追踪 EC2 特定问题(通常是内存不足、磁盘空间不足和/或需要重新启动 nginx)非常有用。
我的问题:暴露 AWS 实例 ID 是否会引起任何安全问题以及/或者有什么理由不这样做?
如果不应该暴露实例 ID,那么是否有更好的方法来识别单个实例,这也会有所帮助?
答案1
是的,公开 AWS 实例 ID 是安全的。
您可以在 AWS 论坛中找到许多 AWS 人员的帖子,要求用户发布他们的实例 ID,以便他们查看,然后他们会说“是的,我可以看到这个问题......”所以我想它是安全的。
以下是一个例子: https://forums.aws.amazon.com/thread.jspa?threadID=24525