Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice di sicurezza per i bucket di directory

Quando si lavora con i bucket di directory, occorre tenere conto di una serie di caratteristiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per il tuo ambiente, considerale come consigli utili più che prescrizioni.

Impostazioni predefinite di Blocco dell'accesso pubblico e Proprietà dell'oggetto

I bucket di directory supportano Blocco dell'accesso pubblico S3 e Proprietà dell'oggetto S3. Queste funzionalità S3 vengono utilizzate per la verifica e la gestione dell'accesso ai bucket e agli oggetti.

Per impostazione predefinita, tutte impostazioni Blocco dell'accesso pubblico per i nuovi bucket sono abilitate. Inoltre, Object Ownership è impostato su bucket owner enforced, il che significa che le liste di controllo degli accessi (ACLs) sono disabilitate. Queste impostazioni non possono essere modificate. Per ulteriori informazioni su queste funzionalità, consulta Blocco dell'accesso pubblico allo storage Amazon S3 e Controllo della proprietà degli oggetti e disattivazione ACLs del bucket.

Autenticazione e autorizzazione

I meccanismi di autenticazione e autorizzazione per i bucket della directory sono diversi, a seconda che si facciano richieste alle operazioni API endpoint di zona o alle operazioni API endpoint regionali. Le operazioni API zonali sono operazioni a livello di oggetto (piano dati). Le operazioni API regionali sono operazioni a livello di bucket (piano di controllo (control-plane)).

L'autenticazione e l'autorizzazione delle richieste alle operazioni API dell'endpoint di zona avvengono tramite un nuovo meccanismo basato sulla sessione , ottimizzato per fornire la latenza più bassa. Con l'autenticazione basata sulla sessione, AWS SDKs utilizzano l'operazione CreateSession API per richiedere credenziali temporanee che forniscono un accesso a bassa latenza al tuo bucket di directory. Queste credenziali temporanee sono definite per un bucket di directory specifico e scadono dopo 5 minuti. È possibile utilizzare queste credenziali temporanee per firmare chiamate API (a livello di oggetto) zonali. Per ulteriori informazioni, consulta Autorizzazione delle operazioni API dell'endpoint di zona con CreateSession.

Firma delle richieste con le credenziali per la gestione dei bucket di directory

Utilizzi le tue credenziali per firmare le richieste API Zonal endpoint (a livello di oggetto) con AWS Signature Version 4, con come nome del servizio. s3express Quando si firmano le richieste, viene utilizzata la chiave segreta restituita da CreateSession e viene fornito anche il token di sessione con x-amzn-s3session-token header. Per ulteriori informazioni, consulta CreateSession.

Il supporto AWS SDKs gestisce le credenziali e la firma per tuo conto. Ti consigliamo di AWS SDKs utilizzarlo per aggiornare le credenziali e firmare le richieste per te.

Richieste di firma con credenziali IAM

Tutte le chiamate API (a livello di bucket) regionali devono essere autenticate e firmate da credenziali AWS Identity and Access Management (IAM) anziché da credenziali di sessione temporanee. Le credenziali IAM sono costituite dall'ID chiave di accesso e dalla chiave di accesso segreta per le identità IAM. Tutte le richieste CopyObject e HeadBucket devono essere autenticate e firmate utilizzando credenziali IAM.

Per ottenere la latenza più bassa per le chiamate alle operazioni di zona (a livello di oggetto), si consiglia di utilizzare le credenziali ottenute dalla chiamata a CreateSession per firmare le richieste, ad eccezione delle richieste a CopyObject e HeadBucket.

Usa AWS CloudTrail

AWS CloudTrail fornisce una registrazione delle azioni intraprese da un utente, da un ruolo o da un utente Servizio AWS in Amazon S3. Puoi utilizzare le informazioni raccolte da CloudTrail per determinare quanto segue:

Quando configuri i tuoi Account AWS, gli eventi CloudTrail di gestione sono abilitati per impostazione predefinita. Vengono registrate le seguenti operazioni API regionali degli endpoint (operazioni API a livello di bucket o piano di controllo). CloudTrail

Per impostazione predefinita, i CloudTrail trail non registrano gli eventi relativi ai dati, ma puoi configurare i percorsi per registrare gli eventi di dati per i bucket di directory che specifichi o per registrare gli eventi di dati per tutti i bucket di directory del tuo AWS account. Vengono registrate le seguenti operazioni API degli endpoint zonali (operazioni API a livello di oggetto o piano dati). CloudTrail

Per ulteriori informazioni sull'utilizzo AWS CloudTrail con i bucket di directory, vedere Registrazione con per i bucket di directory. AWS CloudTrail

Implementa il monitoraggio utilizzando strumenti di monitoraggio AWS

Il monitoraggio è una parte importante per mantenere l'affidabilità, la sicurezza, la disponibilità e le prestazioni di Amazon S3 e delle tue AWS soluzioni. AWS fornisce diversi strumenti e servizi per aiutarti a monitorare Amazon S3 e gli altri. Servizi AWS Ad esempio, puoi monitorare i CloudWatch parametri di Amazon per Amazon S3, in particolare i parametri NumberOfObjects e BucketSizeBytes i parametri di storage.

Gli oggetti memorizzati nei bucket di directory non si rifletteranno nelle metriche di archiviazione BucketSizeBytes e NumberOfObjects per Amazon S3. Tuttavia, le metriche di archiviazione BucketSizeBytes e NumberOfObjects sono supportate per i bucket di directory. Per visualizzare le metriche desiderate, è possibile differenziare le classi di storage di Amazon S3 specificando una dimensione StorageType. Per ulteriori informazioni, consulta Monitoraggio delle metriche con Amazon CloudWatch.

Per ulteriori informazioni, consulta Monitoraggio delle metriche con Amazon CloudWatch e Registrazione e monitoraggio in Amazon S3.