Bewährte Methoden für die Sicherheit für Verzeichnis-Buckets - Amazon Simple Storage Service
Standardeinstellungen für „Öffentlichen Zugriff blockieren“ und „Objekteigentümerschaft“Authentifizierung und AutorisierungVerwenden AWS CloudTrail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Sicherheit für Verzeichnis-Buckets

Bei der Arbeit mit Verzeichnis-Buckets sind eine Reihe von Sicherheitsfunktionen zu berücksichtigen. Die folgenden bewährten Methoden stellen allgemeine Richtlinien und keine vollständige Sicherheitslösung dar. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Empfehlungen und nicht als bindend ansehen.

Standardeinstellungen für „Öffentlichen Zugriff blockieren“ und „Objekteigentümerschaft“

Verzeichnis-Buckets unterstützen S3 Block Public Access und S3 Object Ownership. Diese S3-Features werden für die Überwachung und Verwaltung des Zugriffs auf Ihre Buckets und Objekte verwendet.

Alle Einstellungen zum Blockieren jeglichen öffentlichen Zugriffs sind für Verzeichnis-Buckets standardmäßig aktiviert. Außerdem ist für Object Ownership der Wert Bucket Owner erforced festgelegt, was bedeutet, dass die Zugriffskontrolllisten (ACLs) deaktiviert sind. Diese Einstellungen können nicht geändert werden. Weitere Informationen zu diesen Features finden Sie unter Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher und Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket.

Anmerkung

Sie können keinen Zugriff auf Objekte gewähren, die in Verzeichnis-Buckets gespeichert sind. Sie können nur Zugriff auf Ihre Verzeichnis-Buckets gewähren. Das Autorisierungsmodell für S3 Express One Zone unterscheidet sich vom Autorisierungsmodell für Amazon S3. Weitere Informationen finden Sie unter Autorisieren zonaler Endpunkt-API-Operationen mit CreateSession.

Authentifizierung und Autorisierung

Die Authentifizierungs- und Autorisierungsmechanismen für Verzeichnis-Buckets unterscheiden sich, je nachdem, ob Sie Anfragen für API-Operationen an zonalen Endpunkten oder API-Operationen an regionalen Endpunkten stellen. Zonale API-Operationen sind Operationen auf Objektebene (Datenebene). Regionale API-Operationen sind Operationen auf Bucket-Ebene (Steuerebene).

Mit S3 Express One Zone authentifizieren und autorisieren Sie Anforderungen an API-Operationen an zonalen Endpunkten mithilfe eines neuen sitzungsbasierten Mechanismus , der für die geringste Latenz optimiert ist. Bei der sitzungsbasierten Authentifizierung AWS SDKs verwenden sie den CreateSession API-Vorgang, um temporäre Anmeldeinformationen anzufordern, die den Zugriff auf Ihren Verzeichnis-Bucket mit geringer Latenz ermöglichen. Diese temporären Anmeldeinformationen sind auf einen bestimmten Verzeichnis-Bucket beschränkt und laufen nach 5 Minuten ab. Sie können diese temporären Anmeldeinformationen verwenden, um zonale API-Aufrufe (Objektebene) zu signieren. Weitere Informationen finden Sie unter Autorisieren zonaler Endpunkt-API-Operationen mit CreateSession.

Signieren von Anfragen mit Anmeldeinformationen für die Verwaltung von Verzeichnis-Buckets

Sie verwenden Ihre Anmeldeinformationen, um API-Anfragen für zonale Endpunkte (Objektebene) mit AWS Signature Version 4 s3express als Dienstnamen zu signieren. Wenn Sie Ihre Anforderungen signieren, verwenden Sie den geheimen Schlüssel, der von CreateSessionzurückgegeben wurde, und stellen auch das Sitzungstoken mit dem x-amzn-s3session-token header bereit. Weitere Informationen finden Sie unter CreateSession.

Die unterstützten AWS SDKs verwalten Anmeldeinformationen und signieren in Ihrem Namen. Wir empfehlen, die AWS SDKs zu verwenden, um Anmeldeinformationen zu aktualisieren und Anfragen für Sie zu signieren.

Signieren von Anforderungen mit IAM-Anmeldeinformationen

Alle regionalen API-Aufrufe (Bucket-Ebene) müssen authentifiziert und mit AWS Identity and Access Management (IAM)- Anmeldeinformationen statt mit temporären Sitzungsanmeldedaten signiert werden. IAM-Anmeldeinformationen bestehen aus der Zugriffsschlüssel-ID und dem geheimen Zugriffsschlüssel für die IAM-Identitäten. Alle CopyObject- und HeadBucket-Anforderungen müssen außerdem mithilfe von IAM-Anmeldeinformationen authentifiziert und signiert werden.

Um die geringste Latenz für Ihre zonalen Operationsaufrufe (auf Objektebene) zu erreichen, empfehlen wir, zum Signieren Ihrer Anfragen die Anmeldeinformationen zu verwenden, die Sie beim Aufruf von CreateSession erhalten haben, mit Ausnahme von Anforderungen an CopyObject und HeadBucket.

Verwenden AWS CloudTrail

AWS CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS-Service in Amazon S3 ausgeführt wurden. Sie können die von gesammelten Informationen verwenden CloudTrail , um Folgendes zu ermitteln:

  • Die Anforderung, die an Amazon S3 gestellt wurde

  • Die IP-Adresse, von der die Anforderung erfolgt ist

  • Wer die Anforderung gestellt hat

  • Wann die Anforderung gestellt wurde

  • Zusätzliche Details zur Anforderung

Wenn Sie Ihre einrichten AWS-Konto, sind CloudTrail Verwaltungsereignisse standardmäßig aktiviert. Die folgenden regionalen Endpunkt-API-Operationen (API-Operationen auf Bucket-Ebene oder Kontrollebene) werden protokolliert. CloudTrail

Anmerkung

ListMultipartUploads ist eine zonale Endpunkt-API-Operation Es wird jedoch CloudTrail als Verwaltungsereignis protokolliert. Weitere Informationen finden Sie unter ListMultipartUploads in der API-Referenz zu Amazon Simple Storage Service.

Standardmäßig protokollieren CloudTrail Trails keine Datenereignisse, aber Sie können Trails so konfigurieren, dass Datenereignisse für von Ihnen angegebene Verzeichnis-Buckets oder Datenereignisse für alle Verzeichnis-Buckets in Ihrem AWS Konto protokolliert werden. Die folgenden API-Operationen für zonale Endpunkte (API-Operationen auf Objektebene oder Datenebene) werden protokolliert. CloudTrail

Weitere Informationen zur Verwendung AWS CloudTrail mit Verzeichnis-Buckets finden Sie unter Logging with AWS CloudTrail für Directory-Buckets.

Implementieren Sie die Überwachung mithilfe AWS von Überwachungstools

Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Sicherheit, Verfügbarkeit und Leistung von Amazon S3 und Ihren AWS Lösungen. AWS bietet verschiedene Tools und Dienste, mit denen Sie Amazon S3 und Ihre anderen überwachen können AWS-Services. Sie können beispielsweise CloudWatch Amazon-Metriken für Amazon S3 überwachen, insbesondere die BucketSizeBytes und NumberOfObjects Speichermetriken.

Objekte, die in Verzeichnis-Buckets gespeichert sind, werden in den Speichermetriken BucketSizeBytes und NumberOfObjects für Amazon S3 nicht berücksichtigt. Die Speichermetriken BucketSizeBytes und NumberOfObjects werden jedoch für Verzeichnis-Buckets unterstützt. Um die von Ihnen gewünschten Metriken anzuzeigen, können Sie zwischen den Amazon-S3-Speicherklassen unterscheiden, indem Sie eine StorageType-Dimension angeben. Weitere Informationen finden Sie unter Metriken mit Amazon überwachen CloudWatch.

Weitere Informationen erhalten Sie unter Metriken mit Amazon überwachen CloudWatch und Protokollierung und Überwachung in Amazon S3.