Presigned URLs for S3 auf Outposts verwenden - Amazon S3 in Outposts
Einschränkung vordefinierter Funktionen URLWer kann einen vorsignierten erstellen URLWann überprüft S3 on Outposts das Ablaufdatum und die Uhrzeit eines vorab URL signierten?

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Presigned URLs for S3 auf Outposts verwenden

Um zeitlich begrenzten Zugriff auf Objekte zu gewähren, die lokal in einem Outpost gespeichert sind, ohne Ihre Bucket-Richtlinie zu aktualisieren, können Sie eine vorsignierte Version verwenden. URL Mit der Option vorsigniert URLs können Sie als Bucket-Besitzer Objekte mit Personen in Ihrer virtuellen privaten Cloud (VPC) teilen oder ihnen die Möglichkeit geben, Objekte hochzuladen oder zu löschen.

Wenn Sie ein vorsigniertes Objekt mithilfe URL von AWS SDKs oder AWS Command Line Interface (AWS CLI) erstellen, verknüpfen Sie es URL mit einer bestimmten Aktion. Sie gewähren auch zeitlich begrenzten Zugriff auf die vorsignierte Datei, URL indem Sie eine benutzerdefinierte Ablaufzeit wählen, die so niedrig wie 1 Sekunde und maximal 7 Tage sein kann. Wenn Sie den Vorsignierten teilenURL, VPC kann die Person in der die Aktion so ausführen, URL als wäre sie der ursprüngliche signierende Benutzer. Wenn der seine Ablaufzeit URL erreicht hat, URL läuft der ab und funktioniert nicht mehr.

Einschränkung vordefinierter Funktionen URL

Die Funktionen einer vorsignierten Datei URL werden durch die Berechtigungen des Benutzers begrenzt, der sie erstellt hat. Im Wesentlichen URLs handelt es sich bei vorsignierten Token um Inhaber-Token, die denjenigen Zugriff gewähren, die sie besitzen. Daher empfehlen wir Ihnen, sie angemessen zu schützen.

AWS Signatur Version 4 (SigV4)

Um ein bestimmtes Verhalten bei der Authentifizierung vorsignierter URL Anfragen mithilfe von AWS Signature Version 4 (Sigv4) durchzusetzen, können Sie Bedingungsschlüssel in Bucket-Richtlinien und Access-Point-Richtlinien verwenden. Sie können beispielsweise eine Bucket-Richtlinie erstellen, die die s3-outposts:signatureAge Bedingung verwendet, um alle vorsignierten Amazon S3 on URL Outposts-Anfragen für Objekte im example-outpost-bucket Bucket abzulehnen, wenn die Signatur älter als 10 Minuten ist. Um dieses Beispiel zu verwenden, ersetzen Sie Platzhalter für Benutzereingaben mit Ihren eigenen Informationen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Deny a presigned URL request if the signature is more than 10 minutes old",
            "Effect": "Deny",
            "Principal": {"AWS":"444455556666"},
            "Action": "s3-outposts:*",
            "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*",
            "Condition": {
                "NumericGreaterThan": {"s3-outposts:signatureAge": 600000},
                "StringEquals": {"s3-outposts:authType": "REST-QUERY-STRING"}
            }
        }
    ]
}

Eine Liste von Bedingungsschlüsseln und zusätzliche Beispielrichtlinien, mit denen Sie ein bestimmtes Verhalten bei der Authentifizierung von vorab signierten URL Anfragen mithilfe von Signature Version 4 erzwingen können, finden Sie unter. AWS Authentifizierungsspezifische Richtlinienschlüssel für Signature Version 4 (Sigv4)

Beschränkung der Netzwege

Wenn Sie die Verwendung von vorsignierten URLs und allen S3-On-Outposts-Zugriffen auf bestimmte Netzwerkpfade einschränken möchten, können Sie Richtlinien schreiben, die einen bestimmten Netzwerkpfad erfordern. Um die Beschränkung für den IAM Prinzipal festzulegen, der den Anruf tätigt, können Sie identitätsbasierte AWS Identity and Access Management (IAM) Richtlinien verwenden (z. B. Benutzer-, Gruppen- oder Rollenrichtlinien). Um die Beschränkung für die Ressource S3 on Outposts festzulegen, können Sie ressourcenbasierte Richtlinien verwenden (z. B. Bucket- und Zugriffspunkt-Richtlinien).

Eine Netzwerkpfadbeschränkung für den IAM Prinzipal erfordert, dass der Benutzer mit diesen Anmeldeinformationen Anfragen vom angegebenen Netzwerk aus stellt. Eine Einschränkung des Buckets oder des Zugriffspunkts erfordert, dass alle Anfragen an diese Ressource aus dem angegebenen Netz stammen. Diese Einschränkungen gelten auch außerhalb des URL vordefinierten Szenarios.

Welche IAM globale Bedingung Sie verwenden, hängt vom Typ des Endpunkts ab. Wenn Sie den öffentlichen Endpunkt für S3 on Outposts verwenden, benutzen Sie aws:SourceIp. Wenn Sie einen VPC Endpunkt für S3 auf Outposts verwenden, verwenden Sie aws:SourceVpc oderaws:SourceVpce.

Die folgende IAM Richtlinienerklärung verlangt, dass der Principal AWS nur über den angegebenen Netzwerkbereich zugreift. Mit dieser Richtlinie müssen alle Zugriffe von diesem Bereich ausgehen. Dies gilt auch für den Fall, dass jemand ein URL für S3 vorsigniertes Gerät auf Outposts verwendet. Um dieses Beispiel zu verwenden, ersetzen Sie Platzhalter für Benutzereingaben mit Ihren eigenen Informationen.

{
    "Sid": "NetworkRestrictionForIAMPrincipal",
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
        "NotIpAddressIfExists": {"aws:SourceIp": "IP-address-range"},
        "BoolIfExists": {"aws:ViaAWSService": "false"}
    }
}

Ein Beispiel für eine Bucket-Richtlinie, die den aws:SourceIP AWS globalen Bedingungsschlüssel verwendet, um den Zugriff auf einen S3 on Outposts-Bucket auf einen bestimmten Netzwerkbereich zu beschränken, finden Sie unterEinrichtung IAM mit S3 auf Outposts.

Wer kann einen vorsignierten erstellen URL

Jeder, der über gültige Sicherheitsanmeldedaten verfügt, kann eine URL vorsignierte erstellen. Damit ein Benutzer jedoch erfolgreich auf ein Objekt zugreifen kann, URL muss das vorsignierte Objekt von einer Person erstellt worden sein, die berechtigt URL ist, den Vorgang auszuführen, auf dem das vorsignierte Objekt basiert. VPC

Sie können die folgenden Anmeldeinformationen verwenden, um ein vorsigniertes Objekt zu erstellen: URL

  • IAMInstanzprofil — Gültig bis zu 6 Stunden.

  • AWS Security Token Service— Gültig bis zu 36 Stunden, wenn es mit dauerhaften Anmeldeinformationen signiert ist, z. B. den Anmeldeinformationen des AWS-Konto Root-Benutzers oder eines IAM Benutzers.

  • IAMBenutzer — Gültig bis zu 7 Tage, wenn Sie AWS Signature Version 4 verwenden.

    Um eine vorsignierte Version zu erstellenURL, die bis zu 7 Tage gültig ist, delegieren Sie zunächst die IAM Benutzeranmeldedaten (den Zugriffsschlüssel und den geheimen Schlüssel) an dieSDK, die Sie verwenden. Generieren Sie dann mithilfe URL von AWS Signature Version 4 eine vorsignierte.

Anmerkung

  • Wenn Sie ein vorsigniertes URL mithilfe eines temporären Tokens erstellt haben, URL läuft das ab, wenn das Token abläuft, auch wenn Sie das URL mit einer späteren Ablaufzeit erstellt haben.

  • Da vorab signierte URLs Personen Zugriff auf Ihre S3 on Outposts-Buckets gewähren, empfehlen wir IhnenURL, diese entsprechend zu schützen. Weitere Informationen zum Schutz URLs vorsignierter Benutzer finden Sie unter. Einschränkung vordefinierter Funktionen URL

Wann überprüft S3 on Outposts das Ablaufdatum und die Uhrzeit eines vorab URL signierten?

Zum Zeitpunkt der HTTP Anfrage überprüft S3 on Outposts das Ablaufdatum und die Uhrzeit einer signierten URL Nachricht. Beginnt ein Client beispielsweise mit dem Herunterladen einer großen Datei unmittelbar vor der Ablaufzeit, wird der Download auch dann fortgesetzt, wenn die Ablaufzeit während des Downloads verstreicht. Wenn die Verbindung jedoch unterbrochen wird und der Client versucht, den Download nach Ablauf der Zeit erneut zu starten, schlägt der Download fehl.

Weitere Informationen zur Verwendung eines Presigned URL zum Teilen oder Hochladen von Objekten finden Sie in den folgenden Themen.

Themen