Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Considerazioni sulla sicurezza per i punti di accesso S3 Object Lambda
Con Amazon S3 Object Lambda, puoi eseguire trasformazioni personalizzate sui dati non appena escono da Amazon S3 utilizzando la scalabilità e la flessibilità di una piattaforma di elaborazione. AWS Lambda S3 e Lambda rimangono protetti per impostazione predefinita, ma per conservare questo livello di sicurezza è necessaria un'attenzione speciale da parte dell'autore della funzione Lambda. S3 Object Lambda richiede che tutti gli accessi siano effettuati da principali autenticati (nessun accesso anonimo) e oltre. HTTPS
Per ridurre i rischi per la sicurezza, è consigliabile:
-
Definire l'ambito del ruolo di esecuzione della funzione Lambda in base a un set di autorizzazioni il più limitato possibile.
-
Quando possibile, assicurati che la tua funzione Lambda acceda ad Amazon S3 tramite il presigned fornito. URL
Configurazione delle politiche IAM
I punti di accesso S3 supportano le policy relative alle risorse AWS Identity and Access Management (IAM) che consentono di controllare l'uso del punto di accesso in base alla risorsa, all'utente o ad altre condizioni. Per ulteriori informazioni, consulta Configurazione delle IAM politiche per gli access point Object Lambda.
Funzionamento della crittografia
Poiché gli access point Object Lambda utilizzano sia Amazon S3 che Amazon S3 AWS Lambda, esistono differenze nel comportamento di crittografia. Per ulteriori informazioni sul comportamento della crittografia predefinita di S3, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3.
-
Quando si utilizza la crittografia lato server S3 con i punti di accesso Lambda per oggetti, l'oggetto viene decrittato prima di essere inviato a Lambda. Dopo l'invio a Lambda, l'oggetto viene elaborato in modo non crittografato (nel caso di una richiesta
GEToHEAD). -
Per evitare che la chiave di crittografia venga registrata, S3 rifiuta
GETeHEADrichiede oggetti crittografati utilizzando la crittografia lato server con chiavi fornite dal cliente (-C). SSE Tuttavia, la funzione Lambda può ancora recuperare questi oggetti a condizione che abbia accesso alla chiave fornita dal client. -
Quando utilizzi la crittografia lato client S3 con i punti di accesso Lambda per oggetti, assicurati che Lambda abbia accesso alla chiave di crittografia affinché possa decrittare ed eseguire nuovamente la crittografia dell'oggetto.
Sicurezza dei punti di accesso
Lambda per oggetti S3 utilizza due punti di accesso, un punto di accesso Lambda per oggetti e un punto di accesso S3 standard, denominato punto di accesso di supporto. Quando effettui una richiesta a un punto di accesso Lambda per oggetti, S3 richiama Lambda per tuo conto o delega la richiesta al punto di accesso di supporto, a seconda della configurazione di Lambda per oggetti S3. Quando Lambda viene richiamata per una richiesta, S3 genera un preassegnato URL all'oggetto per conto dell'utente tramite il punto di accesso di supporto. La tua funzione Lambda lo riceve URL come input quando la funzione viene richiamata.
Puoi impostare la tua funzione Lambda in modo che utilizzi questo predefinito URL per recuperare l'oggetto originale, invece di richiamare direttamente S3. Questo modello consente di applicare limiti di sicurezza migliori agli oggetti. Puoi limitare l'accesso diretto agli oggetti tramite bucket S3 o punti di accesso S3 a un set limitato di ruoli o utenti. IAM Questo approccio protegge anche le funzioni Lambda dall'essere soggette al problema del "confused deputy", in cui una funzione configurata erroneamente con autorizzazioni diverse rispetto all'invoker potrebbe consentire o negare l'accesso agli oggetti quando non dovrebbe.
Accesso pubblico ai punti di accesso Object Lambda
S3 Object Lambda non consente l'accesso anonimo o pubblico perché Amazon S3 deve autorizzare l'identità per completare qualsiasi richiesta di S3 Object Lambda. Quando si richiamano le richieste tramite un punto di accesso Lambda per oggetti, è necessaria l'autorizzazione lambda:InvokeFunction per la funzione Lambda configurata. Allo stesso modo, quando si richiamano altre API operazioni tramite un punto di accesso Object Lambda, è necessario disporre delle s3:* autorizzazioni richieste.
Senza queste autorizzazioni, le richieste di richiamo di Lambda o di delega a S3 falliranno con HTTP errori 403 (Forbidden). Tutti gli accessi devono essere effettuati da principali autenticati. Se hai bisogno di un accesso pubblico, come possibile alternativa può essere utilizzato Lambda@Edge. Per ulteriori informazioni, consulta Customizing at the edge with Lambda @Edge nella CloudFront Amazon Developer Guide.
Indirizzi IP dei punti di accesso Lambda per oggetti
Le describe-managed-prefix-lists sottoreti supportano gli endpoint gateway virtual private cloud (VPC) e sono correlate alla tabella di routing degli endpoint. VPC Poiché Object Lambda Access Point non supporta il gateway, mancano VPC gli intervalli IP. Gli intervalli mancanti appartengono ad Amazon S3, ma non sono supportati dagli endpoint del gatewayVPC. Per ulteriori informazioni sudescribe-managed-prefix-lists, consulta DescribeManagedPrefixListsAmazon EC2 API Reference e gli intervalli di indirizzi AWS IP nel Riferimenti generali di AWS.
Supporto per punti di accesso Object Lambda CORS
Quando Lambda per oggetti Amazon S3 riceve una richiesta da un browser o la richiesta include un'intestazione Origin, Lambda per oggetti Amazon S3 aggiunge sempre un campo di intestazione “AllowedOrigins":"*".
Per ulteriori informazioni, consulta Utilizzo della condivisione di risorse tra origini () CORS.
