Contexto: Minha empresa tem API privada que só expomos aos nossos funcionários e fornecedores que precisam acessá-la. Dito isto, há algumas partes que não exigem login para ver, ou seja, a verificação de status e endpoints de login.
Como parte da depuração, agora incluímos a ID da instância da AWS sempre que ocorrer algum erro. Aqui está um exemplo das informações que a API pode retornar em um login com falha:
NOTA: Estes são pseudo-dados e as nossas respostas reais da API são diferentes.
{
"status": {
"code": 400,
"name": "Bad Request",
"description": "This request is missing data or contains invalid information."
},
"error_data": {
"environment": "PRODUCTION",
"instance": "i-0b22b2d35aaaaaaaa",
"message": "Failed to login"
}
}
No passado descobrimos que isso é muito útil para rastrear problemas específicos do EC2 (geralmente pouca memória, pouco espaço em disco e / ou nginx precisa ser reiniciado).
Minha pergunta: A exposição do ID da instância do AWS causa alguma preocupação com segurança e / ou há algum motivo para não?
Também seria útil se houvesse uma maneira melhor de identificar instâncias individuais, caso a ID da instância não devesse ser exposta?
Sim, é seguro expor um ID da instância da AWS.
Você pode encontrar muitas postagens de funcionários da AWS em fóruns da AWS, solicitando aos usuários que publiquem seus ids de instâncias para que possam dar uma olhada e, em seguida, digam "Sim, eu posso ver o problema ..." é seguro.
Veja um exemplo: link