安全 Lightsail 件儲存貯體 - Amazon Lightsail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

安全 Lightsail 件儲存貯體

Amazon Lightsail 物件儲存提供許多安全功能,可在您開發和實作自己的安全政策時考慮。以下最佳實務為一般準則,並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求,因此請將其視為實用建議就好,而不要當作是指示。

內容

預防性安全最佳實務

下列最佳做法可協助防止 Lightsail 值區發生安全性事件。

實作最低權限存取

授與權限時,您可以決定誰取得哪些 Lightsail 資源的權限。您還需針對這些資源啟用允許執行的動作,因此,您只應授予執行任務所需的許可。對降低錯誤或惡意意圖所引起的安全風險和影響而言,實作最低權限存取是相當重要的一環。

如需有關建立 IAM 政策以管理儲存貯體的詳細資訊,請參閱用於管理儲存貯體的 IAM 政策。如需 Lightsail 儲存貯體支援的 Amazon S3 動作的詳細資訊,請參閱 Amazon Lightsail API 參考資料中的物件儲存動作。

確認您的 Lightsail 值區無法公開存取

根據預設,儲存貯體與物件皆為私有。將儲存貯體存取許可設為 All objects are private (所有物件皆為私有),使您的儲存貯體保持私有。對於大多數使用案例,您不需要將儲存貯體或個別物件設為公開。如需詳細資訊,請參閱設定儲存貯體中個別物件的存取許可

Lightsail 主控台中的儲存貯體存取權限

但是,如果您是使用儲存貯體來託管網站或應用程式的媒體,在某些情況下,您可能需要將儲存貯體或個別物件設為公開。您可以設定下列其中一個選項,使儲存貯體或個別物件設為公開:

  • 如果儲存貯體中只有某些物件需要對網際網路上的任何人員公開 (唯讀),則將儲存貯體存取許可變更為 Individual objects can be made public and read-only (個別物件可設為公開和唯讀),並且只將需要公開的物件變更為 Public (read-only) (公開 (唯讀))。此選項可讓儲存貯體保持私有,但可讓您選擇將個別物件設為公開。如果個別物件包含您不希望公開存取的敏感或機密資訊,則請勿將其設為公開。如果您將個別物件設為公開,您應該定期驗證每個個別物件的公開可存取性。

    Lightsail 主控台中的儲存貯體存取權限
  • 如果儲存貯體中的所有物件都需要對網際網路上的任何人員公開 (唯讀),則將儲存貯體存取許可變更為 All objects are public and read-only (所有物件皆為公開和唯讀)。如果儲存貯體中的任何物件包含敏感或機密資訊,請勿使用此選項。

    Lightsail 主控台中的儲存貯體存取權限
  • 如果您先前將儲存貯體變更為公開,或將個別物件變更為公開,則可將儲存貯體存取許可變更為 All objects are private (所有物件皆為私有),快速將儲存貯體及其所有物件變更為私有。

    Lightsail 主控台中的儲存貯體存取權限

在 Amazon S3 中啟用封鎖公有存取

Lightsail 物件儲存資源在允許或拒絕公開存取時,會將 Lightsail 儲存貯體存取權限和 Amazon S3 帳戶層級區塊公開存取組態納入考量。透過 Amazon S3 帳戶層級區塊公開存取,帳戶管理員和儲存貯體擁有者可以集中限制公開存取其 Amazon S3 和 Lightsail 儲存貯體。無論資源的建立方式為何,以及可能已設定的個別儲存貯體和物件許可為何,封鎖公用存取都可以將所有 Amazon S3 和 Lightsail 儲存貯體設為私有。如需詳細資訊,請參閱封鎖儲存貯體的公有存取

將執行個體連接至儲存貯體以授予完整的程式設計存取權

將執行個體附加至 Lightsail 物件儲存貯體是提供值區存取權的最安全方式。資源存取功能是您將執行個體連接至儲存貯體的方式,可授予執行個體對儲存貯體的完整程式設計存取權。使用此方法,您就不必將儲存貯體憑證直接儲存在執行個體或應用程式中,也不必定期輪換憑證。例如,某些 WordPress 外掛程式可以存取執行個體可存取的值區。如需詳細資訊,請參閱設定值區的資源存取權限教學課程:將值區 Connect 至 WordPress 執行個體

在主控台中存取值區資源

不過,如果應用程式不在 Lightsail 執行個體上,您可以建立和設定值區存取金鑰。儲存貯體存取金鑰是不會自動輪換的長期憑證。

控制台中的存儲桶訪問鍵

您可以建立並使用存取金鑰,授予應用程式或外掛程式對您儲存貯體中物件的完整程式設計存取權。如果您在儲存貯體中使用存取金鑰,則應定期輪換金鑰並清點現有金鑰。確認上次使用存取金鑰的日期,以及使用該金鑰的日期符合您對金鑰使用方式的期望。 AWS 區域 上次使用存取金鑰的日期會顯示在 Lightsail 主控台中;值區管理頁面「權限」索引標籤的「存取金鑰」區段。刪除未使用的存取金鑰。

如果您不小心公開了私密存取金鑰,則應將它刪除並新建一個。每個儲存貯體可擁有最多兩個存取金鑰。您可以同時擁有兩個不同的存取金鑰,但在您的儲存貯體中有一個未使用的存取金鑰,對於您需要以最少的停機時間輪換金鑰也很有幫助。若要輪換存取金鑰,請建立新的存取金鑰,在軟體上設定並進行測試,然後刪除舊金鑰。刪除後,存取金鑰即永久消失且無法復原。您只能改用新的存取金鑰。如需詳細資訊,請參閱建立儲存貯體存取金鑰

使用跨帳戶存取權授予其他 AWS 帳戶存取值區中物件的權限

您可以使用跨帳戶存取權,讓擁有 AWS 帳戶的特定個人存取值區中的物件,而不會將值區及其物件公開。如果您已設定跨帳戶存取權,請確定所列出的帳戶 ID 是您要授與儲存貯體中物件存取權的正確帳戶。如需詳細資訊,請參閱設定儲存貯體的跨帳户存取權

在 Lightsail 主控台中存取值區跨帳戶

資料加密

Lightsail 會使用 Amazon 受管金鑰執行伺服器端加密,並透過強制執行 HTTPS (TLS) 對傳輸中的資料進行加密。伺服器端加密會使用存放在另一套服務中的金鑰來加密資料,有助於降低您資料的風險。此外,加密傳輸中的資料有助於防止潛在攻擊者利用 person-in-the-middle 或類似攻擊竊取或操控網路流量。

啟用版本控制

版本控制是在相同儲存貯體中保留多個物件版本的方式。您可以使用版本控制來保留、擷取和還原 Lightsail 值區中儲存之每個物件的每個版本。透過版本控制,您就可以輕鬆地復原失誤的使用者動作和故障的應用程式。如需詳細資訊,請參閱啟用和暫停儲存貯體物件版本控制

監控和稽核最佳實務

下列最佳做法有助於偵測 Lightsail 值區的潛在安全弱點和事件。

啟用存取記錄並定期執行安全和存取稽核

存取記錄會提供對儲存貯體所提出要求的詳細記錄。這資訊可能包括要求類型 (GETPUT)、要求中指定的資源,以及要求的處理時間和日期。啟用儲存貯體的存取記錄,並定期執行安全和存取稽核,以識別存取您儲存貯體的實體。根據預設,Lightsail 不會收集值區的存取記錄。您必須手動啟用存取記錄。如需詳細資訊,請參閱儲存貯體存取日誌啟用儲存貯體存取日誌

識別、標記及稽核您的 Lightsail 儲存貯體

識別 IT 資產是控管和保障安全的重要環節。您必須掌握所有 Lightsail 值區,才能評估其安全狀態,並針對潛在的弱點區域採取行動。

您可使用標記來識別重視安全或重視稽核的資源,接著在需要搜尋上述資源時運用這些標籤。如需詳細資訊,請參閱標籤

使用 AWS 監控工具來實作監控

監控是維護 Lightsail 儲存貯體和其他資源的可靠性、安全性、可用性和效能的重要組成部分。您可以在 Lightsail 中監視和建立值區大小 (BucketSizeBytes) 和 Number of objects (NumberOfObjects) 儲存貯體量度的通知警示。例如,您可能需要在儲存貯體的大小增加或減少到特定大小時,或者當儲存貯體中的物件數目上升或下降到特定數目時收到通知。如需詳細資訊,請參閱建立儲存貯體指標警示

使用 AWS CloudTrail

AWS CloudTrail 提供 Lightsail 中使用者、角色或 AWS 服務所採取之動作的記錄。您可以使用收集的資訊 CloudTrail 來判斷向 Lightsail 提出的要求、提出要求的 IP 位址、提出要求的人員、提出要求的時間以及其他詳細資訊。例如,您可以識別影響資料存取的動作 CloudTrail項目CreateBucketAccessKey,特別是GetBucketAccessKeysDeleteBucketAccessKeySetResourceAccessForBucket、和UpdateBucket。設定 AWS 帳戶時,預設 CloudTrail 為啟用狀態。您可以在 CloudTrail 主控台中檢視最近的事件。若要為 Lightsail 值區建立持續的活動和事件記錄,您可以在 CloudTrail 主控台中建立追蹤。如需詳細資訊,請參閱《AWS CloudTrail 使用者指南》中的記錄資料事件

監控 AWS 安全建議

主動監控註冊到 AWS 帳戶的主要電子郵件地址。 AWS 將使用此電子郵件地址與您聯繫,以了解可能影響您的新興安全問題。

AWS 具有廣泛影響的作業問題會張貼在 AWS Service Health Dashboard 上。系統也會透過 Personal Health Dashboard,將操作問題張貼至個別帳戶。如需詳細資訊,請參閱 AWS 運作狀態文件