Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik keamanan untuk bucket direktori

Ada sejumlah fitur keamanan yang perlu dipertimbangkan saat bekerja dengan bucket direktori. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai rekomendasi yang bermanfaat, bukan sebagai resep.

Pengaturan Blokir Akses Publik dan Kepemilikan Objek Default

Bucket direktori mendukung Blokir Akses Publik S3 dan Kepemilikan Objek S3. Fitur S3 ini digunakan untuk mengaudit dan mengelola akses ke bucket dan objek Anda.

Secara default, semua pengaturan Blok Akses Publik untuk bucket direktori diaktifkan. Selain itu, Kepemilikan Objek disetel ke pemilik bucket yang diberlakukan, yang berarti bahwa daftar kontrol akses (ACLs) dinonaktifkan. Pengaturan ini tidak dapat dimodifikasi. Untuk informasi selengkapnya tentang fitur ini, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda dan Mengontrol kepemilikan objek dan menonaktifkan bucket ACLs Anda.

Autentikasi dan otorisasi

Mekanisme otentikasi dan otorisasi untuk bucket direktori berbeda, tergantung pada apakah Anda membuat permintaan ke operasi titik akhir Zonal atau API operasi titik akhir Regional. API APIOperasi zona adalah operasi tingkat objek (bidang data). APIOperasi regional adalah operasi tingkat ember (bidang kontrol).

Anda mengautentikasi dan mengotorisasi permintaan ke API operasi titik akhir Zonal melalui mekanisme berbasis sesi baru yang dioptimalkan untuk memberikan latensi terendah. Dengan autentikasi berbasis sesi, AWS SDKs gunakan CreateSession API operasi untuk meminta kredensil sementara yang menyediakan akses latensi rendah ke bucket direktori Anda. Kredensial sementara ini dicakup ke bucket direktori tertentu dan kedaluwarsa setelah 5 menit. Anda dapat menggunakan kredensil sementara ini untuk menandatangani panggilan Zonal (level objek). API Untuk informasi selengkapnya, lihat Mengotorisasi operasi titik akhir API Zonal dengan CreateSession.

Menandatangani permintaan dengan kredensil untuk manajemen bucket direktori

Anda menggunakan kredensi Anda untuk menandatangani API permintaan titik akhir Zonal (tingkat objek) dengan AWS Signature Version 4, dengan nama layanans3express. Saat Anda menandatangani permintaan, gunakan kunci rahasia yang dikembalikan dari CreateSession dan berikan juga token sesi dengan x-amzn-s3session-token header. Untuk informasi selengkapnya, silakan lihat CreateSession.

Kredensi AWS SDKs kelola yang didukung dan penandatanganan atas nama Anda. Sebaiknya gunakan AWS SDKs untuk menyegarkan kredensil dan menandatangani permintaan untuk Anda.

Menandatangani permintaan dengan IAM kredensil

Semua API panggilan Regional (tingkat ember) harus diautentikasi dan ditandatangani oleh AWS Identity and Access Management (IAM) kredensi, bukan kredenal sesi sementara. IAMkredensil terdiri dari ID kunci akses dan kunci akses rahasia untuk identitas. IAM Semua CopyObject dan HeadBucket permintaan juga harus diautentikasi dan ditandatangani dengan menggunakan IAM kredensil.

Untuk mencapai latensi terendah untuk panggilan operasi Zonal (tingkat objek) Anda, sebaiknya gunakan kredensil yang diperoleh dari panggilan CreateSession untuk menandatangani permintaan Anda, kecuali untuk permintaan ke dan. CopyObject HeadBucket

Gunakan AWS CloudTrail

AWS CloudTrail menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau Layanan AWS di Amazon S3. Anda dapat menggunakan informasi yang dikumpulkan oleh CloudTrail untuk menentukan hal-hal berikut:

Saat Anda mengatur Akun AWS, acara CloudTrail manajemen diaktifkan secara default. APIOperasi titik akhir Regional berikut (tingkat ember, atau bidang kontrol, API operasi) dicatat ke. CloudTrail

Secara default, CloudTrail jejak tidak mencatat peristiwa data, tetapi Anda dapat mengonfigurasi jejak untuk mencatat peristiwa data untuk bucket direktori yang Anda tentukan, atau untuk mencatat peristiwa data untuk semua bucket direktori di akun Anda. AWS APIOperasi titik akhir Zonal berikut (tingkat objek, atau bidang data, API operasi) dicatat ke. CloudTrail

Untuk informasi selengkapnya tentang penggunaan AWS CloudTrail dengan bucket direktori, lihat Logging with AWS CloudTrail for directory bucket.

Melaksanakan pemantauan dengan menggunakan alat AWS pemantauan

Pemantauan adalah bagian penting dalam menjaga keandalan, keamanan, ketersediaan, dan kinerja Amazon S3 dan solusi Anda AWS . AWS menyediakan beberapa alat dan layanan untuk membantu Anda memantau Amazon S3 dan yang lain. Layanan AWS Misalnya, Anda dapat memantau CloudWatch metrik Amazon untuk Amazon S3, khususnya metrik penyimpanan NumberOfObjects dan BucketSizeBytes penyimpanan.

Objek yang disimpan dalam bucket direktori tidak akan tercermin dalam metrik NumberOfObjects penyimpanan BucketSizeBytes dan untuk Amazon S3. Namun, metrik BucketSizeBytes dan NumberOfObjects penyimpanan didukung untuk bucket direktori. Untuk melihat metrik pilihan Anda, Anda dapat membedakan antara kelas penyimpanan Amazon S3 dengan menentukan dimensi. StorageType Untuk informasi selengkapnya, lihat Memantau metrik dengan Amazon CloudWatch.

Untuk informasi selengkapnya, silakan lihat Memantau metrik dengan Amazon CloudWatch dan Pencatatan log dan pemantauan di Amazon S3.