目錄儲存貯體的安全最佳實務 - Amazon Simple Storage Service
預設封鎖公開存取和物件擁有權設定身份驗證和授權使用 AWS CloudTrail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

目錄儲存貯體的安全最佳實務

使用目錄儲存貯體時,需要考慮許多安全功能。以下最佳實務為一般準則,並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求,因此請將其視為實用建議就好,而不要當作是指示。

預設封鎖公開存取和物件擁有權設定

目錄儲存貯體支援 S3 封鎖公開存取和 S3 物件擁有權。這些 S3 功能可用來稽核和管理對儲存貯體和物件的存取權。

根據預設,目錄儲存貯體的所有封鎖公開存取設定都會啟用。此外,物件擁有權設定為強制執行的儲存貯體擁有者,這表示存取控制清單 (ACLs) 已停用。這些設定無法修改。如需這些功能的詳細資訊,請參閱 封鎖對 Amazon S3 儲存體的公開存取權控制物件的擁有權,並停用儲存貯體的 ACLs

注意

您無法授予存放在目錄儲存貯體中的物件存取權。您只能授予目錄儲存貯體的存取權。S3 Express One Zone 的授權模式與 Amazon S3 的授權模式不同。如需詳細資訊,請參閱使用 授權區域端點API操作 CreateSession

身份驗證和授權

目錄儲存貯體的身分驗證和授權機制會有所不同,取決於您是對區域端點 API 操作或區域端點 API 操作提出請求。區域 API 操作是物件層級 (資料平面) 操作。區域 API 操作是儲存貯體層級 (控制平面) 操作。

您可以透過新的工作階段型機制來驗證並授權對 Zonal 端點 API 操作的請求,該機制經過最佳化以提供最低延遲。使用工作階段型身分驗證時, AWS SDKs 會使用 API CreateSession 操作來請求臨時憑證,以提供目錄儲存貯體的低延遲存取。這些臨時憑證的範圍會設為特定目錄儲存貯體,並於 5 分鐘後過期。您可以使用這些臨時憑證來簽署區域 (物件層級) API 呼叫。如需詳細資訊,請參閱使用 授權區域端點API操作 CreateSession

使用目錄儲存貯體管理的憑證簽署請求

您可以使用憑證簽署具有 AWS Signature 第 4 版的 Zonal 端點 (物件層級) API 請求,並以 s3express作為服務名稱。當您簽署請求時,請使用從 CreateSession 傳回的秘密金鑰,同時提供具有 x-amzn-s3session-token header 的工作階段權杖。如需詳細資訊,請參閱 CreateSession.

支援的 AWS SDKs 會管理憑證並代表您簽署。我們建議您使用 AWS SDKs 重新整理憑證並簽署請求。

使用 IAM 憑證簽署請求

所有區域 (儲存貯體層級) API 呼叫都必須由 AWS Identity and Access Management (IAM) 憑證進行身分驗證和簽署,而非臨時工作階段憑證。IAM 憑證包含 IAM 身分的存取金鑰 ID 和秘密存取金鑰。所有 CopyObjectHeadBucket請求也必須使用 IAM 憑證進行身分驗證和簽署。

為了實現區域 (物件層級) 操作呼叫的最低延遲,我們建議您使用從呼叫中獲得的憑證CreateSession來簽署請求,但對 CopyObject和 的請求除外HeadBucket

使用 AWS CloudTrail

AWS CloudTrail 提供 Amazon S3 中使用者、角色或 AWS 服務 所採取動作的記錄。您可以使用由 CloudTrail 收集的資訊來判斷下列事項:

  • 對 Amazon S3 提出的請求

  • 提出請求的 IP 地址

  • 提出要求的人員

  • 提出請求的時間

  • 有關請求的其他詳細資訊

當您設定 時 AWS 帳戶,預設會啟用 CloudTrail 管理事件。下列區域端點 API 操作 (儲存貯體層級或控制平面、API 操作) 會記錄到 CloudTrail。

注意

ListMultipartUploads 是區域端點 API 操作。不過,它會記錄為 CloudTrail 管理事件。如需詳細資訊,請參閱 ListMultipartUploadsAmazon Simple Storage Service API 參考中。

根據預設, CloudTrail 追蹤不會記錄資料事件,但您可以設定追蹤來記錄您指定之目錄儲存貯體的資料事件,或記錄您 AWS 帳戶中所有目錄儲存貯體的資料事件。下列區域端點 API 操作 (物件層級或資料平面、API 操作) 會記錄到 CloudTrail。

如需搭配使用 AWS CloudTrail 與目錄儲存貯體的詳細資訊,請參閱使用 AWS CloudTrail 記錄目錄儲存貯體。

使用監控工具實作 AWS 監控

監控是維護 Amazon S3 和您 AWS 解決方案的可靠性、安全性、可用性和效能的重要部分。 AWS 提供數種工具和服務,協助您監控 Amazon S3 和其他項目 AWS 服務。例如,您可以監控 Amazon S3 的 AmazonWord CloudWatch 指標,特別是 BucketSizeBytesNumberOfObjects儲存指標。

儲存在目錄儲存貯體中的物件不會反映在 BucketSizeBytes和 Amazon S3 的NumberOfObjects儲存指標中。不過,目錄儲存貯體支援 BucketSizeBytesNumberOfObjects儲存指標。若要查看您選擇的指標,您可以透過指定StorageType維度來區分 Amazon S3 儲存類別。如需詳細資訊,請參閱使用 Amazon CloudWatch 監控指標

如需詳細資訊,請參閱 使用 Amazon CloudWatch 監控指標在 Amazon S3 中記錄和監控