Bewährte Methoden für die Sicherheit in S3 Express One Zone - Amazon Simple Storage Service
Standardeinstellungen für „Öffentlichen Zugriff blockieren“ und „Objekteigentümerschaft“Authentifizierung und AutorisierungVerwenden Sie AWS CloudTrail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Sicherheit in S3 Express One Zone

Amazon S3 Express One Zone enthält eine Reihe von Sicherheits-Features, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden stellen allgemeine Richtlinien und keine vollständige Sicherheitslösung dar. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Empfehlungen und nicht als bindend ansehen.

Standardeinstellungen für „Öffentlichen Zugriff blockieren“ und „Objekteigentümerschaft“

Um die Speicherklasse S3 Express One Zone zu verwenden, müssen Sie einen S3-Verzeichnis-Bucket verwenden. Verzeichnis-Buckets unterstützen S3 Block Public Access und S3 Object Ownership. Diese S3-Features werden für die Überwachung und Verwaltung des Zugriffs auf Ihre Buckets und Objekte verwendet.

Alle Einstellungen zum Blockieren jeglichen öffentlichen Zugriffs sind für Verzeichnis-Buckets standardmäßig aktiviert. Darüber hinaus ist Object Ownership auf Bucket Owner erforced gesetzt, was bedeutet, dass Zugriffskontrolllisten (ACLs) deaktiviert sind. Diese Einstellungen können nicht geändert werden. Weitere Informationen zu diesen Features finden Sie unter Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher und Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket.

Anmerkung

Sie können keinen Zugriff auf Objekte gewähren, die in Verzeichnis-Buckets gespeichert sind. Sie können nur Zugriff auf Ihre Verzeichnis-Buckets gewähren. Das Autorisierungsmodell für S3 Express One Zone unterscheidet sich vom Autorisierungsmodell für Amazon S3. Weitere Informationen finden Sie unter CreateSession-Autorisierung.

Authentifizierung und Autorisierung

Die Authentifizierungs- und Autorisierungsmechanismen für S3 Express One Zone unterscheiden sich je nachdem, ob Sie Anfragen an zonale API Endpunktoperationen oder regionale API Endpunktoperationen stellen. Zonale API Operationen sind Operationen auf Objektebene (Datenebene). Bei regionalen API Operationen handelt es sich um Operationen auf Bucket-Ebene (Steuerungsebene).

Mit S3 Express One Zone authentifizieren und autorisieren Sie Anfragen an den API Betrieb zonaler Endgeräte mithilfe eines neuen sitzungsbasierten Mechanismus, der für die geringste Latenz optimiert ist. Mit der sitzungsbasierten Authentifizierung AWS SDKsVerwenden Sie den CreateSession API Vorgang, um temporäre Anmeldeinformationen anzufordern, die den Zugriff auf Ihren Verzeichnis-Bucket mit geringer Latenz ermöglichen. Diese temporären Anmeldeinformationen sind auf einen bestimmten Verzeichnis-Bucket beschränkt und laufen nach 5 Minuten ab. Sie können diese temporären Anmeldeinformationen verwenden, um zonale Aufrufe (Objektebene) API zu signieren. Weitere Informationen finden Sie unter CreateSession-Autorisierung.

Signieren von Anforderungen mit S3-Express-One-Zone-Anmeldeinformationen

Sie verwenden Ihre S3 Express One Zone-Anmeldeinformationen, um Anfragen an zonale Endpunkte (Objektebene) API mit zu signieren AWS Signaturversion 4, mit s3express als Dienstname. Wenn Sie Ihre Anforderungen signieren, verwenden Sie den geheimen Schlüssel, der von CreateSessionzurückgegeben wurde, und stellen auch das Sitzungstoken mit dem x-amzn-s3session-token header bereit. Weitere Informationen finden Sie unter CreateSession.

Die unterstützten AWS SDKsfür die S3 Express One Zone-Klasse verwalten Sie Anmeldeinformationen und Unterschriften in Ihrem Namen. Wir empfehlen die Verwendung von AWS SDKsfür S3 Express One Zone, um Anmeldeinformationen zu aktualisieren und Anfragen für Sie zu signieren.

Anfragen mit IAM Anmeldeinformationen signieren

Alle regionalen API Anrufe (auf Bucket-Ebene) müssen authentifiziert und signiert werden von AWS Identity and Access Management (IAM) Anmeldeinformationen statt temporärer Sitzungsanmeldedaten. IAMAnmeldeinformationen bestehen aus der Zugriffsschlüssel-ID und dem geheimen Zugriffsschlüssel für die IAM Identitäten. Alle CopyObject HeadBucket Anfragen müssen außerdem authentifiziert und mithilfe IAM von Anmeldeinformationen signiert werden.

Um die geringste Latenz für Ihre zonalen Betriebsaufrufe (auf Objektebene) zu erreichen, empfehlen wir, zum Signieren Ihrer Anfragen die S3-Express-One-Zone-Anmeldeinformationen zu verwenden, die Sie beim Aufruf von CreateSession erhalten haben, mit Ausnahme von Anforderungen an CopyObject und HeadBucket.

Verwenden Sie AWS CloudTrail

AWS CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS-Service auf Amazon S3. Sie können die von gesammelten Informationen verwenden CloudTrail , um Folgendes zu ermitteln:

  • Die Anforderung, die an Amazon S3 gestellt wurde

  • Die IP-Adresse, von der die Anforderung erfolgt ist

  • Wer die Anforderung gestellt hat

  • Wann die Anforderung gestellt wurde

  • Zusätzliche Details zur Anforderung

Wenn Sie Ihre einrichten AWS-Konto, CloudTrail Verwaltungsereignisse sind standardmäßig aktiviert. Die folgenden regionalen API Endpunktoperationen (Operationen auf Bucket-Ebene oder Kontrollebene) werden protokolliert. API CloudTrail

Anmerkung

ListMultipartUploadsist ein Vorgang mit zonalem Endpunkt. API Es wird jedoch CloudTrail als Verwaltungsereignis protokolliert. Weitere Informationen finden Sie unter ListMultipartUploadsin der Amazon Simple Storage Service API Reference.

Standardmäßig protokollieren CloudTrail Trails keine Datenereignisse, aber Sie können Trails so konfigurieren, dass Datenereignisse für von Ihnen angegebene Verzeichnis-Buckets oder Datenereignisse für alle Verzeichnis-Buckets in Ihrem AWS Konto. Die folgenden zonalen API Endpunktoperationen (Operationen auf Objektebene oder Datenebene) werden protokolliertAPI. CloudTrail

Weitere Informationen zur Verwendung von AWS CloudTrail mit S3 Express One Zone, siehe Protokollierung mit AWS CloudTrail für S3 Express One Zone.

Implementieren Sie die Überwachung mithilfe von AWS Überwachungstools

Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Sicherheit, Verfügbarkeit und Leistung von Amazon S3 und Ihrer AWS Lösungen. AWS bietet verschiedene Tools und Dienste, mit denen Sie Amazon S3 und Ihre anderen überwachen können AWS-Services. Sie können beispielsweise CloudWatch Amazon-Metriken für Amazon S3 überwachen, insbesondere die BucketSizeBytes und NumberOfObjects Speichermetriken.

Objekte, die in der Speicherklasse S3 Express One Zone gespeichert sind, werden in den Speichermetriken BucketSizeBytes und NumberOfObjects für Amazon S3 nicht berücksichtigt. Die Speichermetriken BucketSizeBytes und NumberOfObjects werden jedoch für S3 Express One Zone unterstützt. Um die Metriken Ihrer Wahl zu sehen, können Sie zwischen den Amazon-S3-Speicherklassen und der Speicherklasse S3 Express One Zone unterscheiden, indem Sie eine StorageType-Dimension angeben. Weitere Informationen finden Sie unter Metriken mit Amazon überwachen CloudWatch.

Weitere Informationen erhalten Sie unter Metriken mit Amazon überwachen CloudWatch und Überwachen von Amazon S3.