Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Methoden für die Sicherheit in S3 Express One Zone
Amazon S3 Express One Zone enthält eine Reihe von Sicherheits-Features, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden stellen allgemeine Richtlinien und keine vollständige Sicherheitslösung dar. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Empfehlungen und nicht als bindend ansehen.
Standardeinstellungen für „Öffentlichen Zugriff blockieren“ und „Objekteigentümerschaft“
Um die Speicherklasse S3 Express One Zone zu verwenden, müssen Sie einen S3-Verzeichnis-Bucket verwenden. Verzeichnis-Buckets unterstützen S3 Block Public Access und S3 Object Ownership. Diese S3-Features werden für die Überwachung und Verwaltung des Zugriffs auf Ihre Buckets und Objekte verwendet.
Alle Einstellungen zum Blockieren jeglichen öffentlichen Zugriffs sind für Verzeichnis-Buckets standardmäßig aktiviert. Darüber hinaus ist Object Ownership auf Bucket Owner erforced gesetzt, was bedeutet, dass Zugriffskontrolllisten (ACLs) deaktiviert sind. Diese Einstellungen können nicht geändert werden. Weitere Informationen zu diesen Features finden Sie unter Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher und Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket.
Anmerkung
Sie können keinen Zugriff auf Objekte gewähren, die in Verzeichnis-Buckets gespeichert sind. Sie können nur Zugriff auf Ihre Verzeichnis-Buckets gewähren. Das Autorisierungsmodell für S3 Express One Zone unterscheidet sich vom Autorisierungsmodell für Amazon S3. Weitere Informationen finden Sie unter CreateSession-Autorisierung.
Authentifizierung und Autorisierung
Die Authentifizierungs- und Autorisierungsmechanismen für S3 Express One Zone unterscheiden sich je nachdem, ob Sie Anfragen an zonale API Endpunktoperationen oder regionale API Endpunktoperationen stellen. Zonale API Operationen sind Operationen auf Objektebene (Datenebene). Bei regionalen API Operationen handelt es sich um Operationen auf Bucket-Ebene (Steuerungsebene).
Mit S3 Express One Zone authentifizieren und autorisieren Sie Anfragen an den API Betrieb zonaler Endgeräte mithilfe eines neuen sitzungsbasierten Mechanismus, der für die geringste Latenz optimiert ist. Mit der sitzungsbasierten Authentifizierung AWS SDKsVerwenden Sie den
CreateSession
API Vorgang, um temporäre Anmeldeinformationen anzufordern, die den Zugriff auf Ihren Verzeichnis-Bucket mit geringer Latenz ermöglichen. Diese temporären Anmeldeinformationen sind auf einen bestimmten Verzeichnis-Bucket beschränkt und laufen nach 5 Minuten ab. Sie können diese temporären Anmeldeinformationen verwenden, um zonale Aufrufe (Objektebene) API zu signieren. Weitere Informationen finden Sie unter CreateSession-Autorisierung.
Signieren von Anforderungen mit S3-Express-One-Zone-Anmeldeinformationen
Sie verwenden Ihre S3 Express One Zone-Anmeldeinformationen, um Anfragen an zonale Endpunkte (Objektebene) API mit zu signieren AWS Signaturversion 4, mit s3express
als Dienstname. Wenn Sie Ihre Anforderungen signieren, verwenden Sie den geheimen Schlüssel, der von CreateSession
zurückgegeben wurde, und stellen auch das Sitzungstoken mit dem x-amzn-s3session-token header
bereit. Weitere Informationen finden Sie unter CreateSession.
Die unterstützten AWS SDKsfür die S3 Express One Zone-Klasse verwalten Sie Anmeldeinformationen und Unterschriften in Ihrem Namen. Wir empfehlen die Verwendung von AWS SDKsfür S3 Express One Zone, um Anmeldeinformationen zu aktualisieren und Anfragen für Sie zu signieren.
Anfragen mit IAM Anmeldeinformationen signieren
Alle regionalen API Anrufe (auf Bucket-Ebene) müssen authentifiziert und signiert werden von AWS Identity and Access Management (IAM) Anmeldeinformationen statt temporärer Sitzungsanmeldedaten. IAMAnmeldeinformationen bestehen aus der Zugriffsschlüssel-ID und dem geheimen Zugriffsschlüssel für die IAM Identitäten. Alle CopyObject
HeadBucket
Anfragen müssen außerdem authentifiziert und mithilfe IAM von Anmeldeinformationen signiert werden.
Um die geringste Latenz für Ihre zonalen Betriebsaufrufe (auf Objektebene) zu erreichen, empfehlen wir, zum Signieren Ihrer Anfragen die S3-Express-One-Zone-Anmeldeinformationen zu verwenden, die Sie beim Aufruf von CreateSession
erhalten haben, mit Ausnahme von Anforderungen an CopyObject
und HeadBucket
.
Verwenden Sie AWS CloudTrail
AWS CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS-Service auf Amazon S3. Sie können die von gesammelten Informationen verwenden CloudTrail , um Folgendes zu ermitteln:
-
Die Anforderung, die an Amazon S3 gestellt wurde
-
Die IP-Adresse, von der die Anforderung erfolgt ist
-
Wer die Anforderung gestellt hat
-
Wann die Anforderung gestellt wurde
-
Zusätzliche Details zur Anforderung
Wenn Sie Ihre einrichten AWS-Konto, CloudTrail Verwaltungsereignisse sind standardmäßig aktiviert. Die folgenden regionalen API Endpunktoperationen (Operationen auf Bucket-Ebene oder Kontrollebene) werden protokolliert. API CloudTrail
Anmerkung
ListMultipartUploads
ist ein Vorgang mit zonalem Endpunkt. API Es wird jedoch CloudTrail als Verwaltungsereignis protokolliert. Weitere Informationen finden Sie unter ListMultipartUploadsin der Amazon Simple Storage Service API Reference.
Standardmäßig protokollieren CloudTrail Trails keine Datenereignisse, aber Sie können Trails so konfigurieren, dass Datenereignisse für von Ihnen angegebene Verzeichnis-Buckets oder Datenereignisse für alle Verzeichnis-Buckets in Ihrem AWS Konto. Die folgenden zonalen API Endpunktoperationen (Operationen auf Objektebene oder Datenebene) werden protokolliertAPI. CloudTrail
Weitere Informationen zur Verwendung von AWS CloudTrail mit S3 Express One Zone, siehe Protokollierung mit AWS CloudTrail für S3 Express One Zone.
Implementieren Sie die Überwachung mithilfe von AWS Überwachungstools
Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Sicherheit, Verfügbarkeit und Leistung von Amazon S3 und Ihrer AWS Lösungen. AWS bietet verschiedene Tools und Dienste, mit denen Sie Amazon S3 und Ihre anderen überwachen können AWS-Services. Sie können beispielsweise CloudWatch Amazon-Metriken für Amazon S3 überwachen, insbesondere die BucketSizeBytes
und NumberOfObjects
Speichermetriken.
Objekte, die in der Speicherklasse S3 Express One Zone gespeichert sind, werden in den Speichermetriken BucketSizeBytes
und NumberOfObjects
für Amazon S3 nicht berücksichtigt. Die Speichermetriken BucketSizeBytes
und NumberOfObjects
werden jedoch für S3 Express One Zone unterstützt. Um die Metriken Ihrer Wahl zu sehen, können Sie zwischen den Amazon-S3-Speicherklassen und der Speicherklasse S3 Express One Zone unterscheiden, indem Sie eine StorageType
-Dimension angeben. Weitere Informationen finden Sie unter Metriken mit Amazon überwachen CloudWatch.
Weitere Informationen erhalten Sie unter Metriken mit Amazon überwachen CloudWatch und Überwachen von Amazon S3.