Limiter les capacités présignées URL Qui peut créer un présigné URL Quand est-ce que S3 on Outposts vérifie la date et l'heure d'expiration d'un présigné ? URL

Utilisation de Presigned URLs pour S3 sur Outposts

Pour accorder un accès limité dans le temps aux objets stockés localement sur un Outpost sans mettre à jour votre politique de compartiment, vous pouvez utiliser un présigné. URL Avec presignedURLs, en tant que propriétaire du bucket, vous pouvez partager des objets avec des personnes dans votre cloud privé virtuel (VPC) ou leur donner la possibilité de télécharger ou de supprimer des objets.

Lorsque vous créez un présigné à URL l'aide du AWS SDKs ou du AWS Command Line Interface (AWS CLI), vous l'URLassociez à une action spécifique. Vous accordez également un accès limité dans le temps au présigné URL en choisissant un délai d'expiration personnalisé qui peut être compris entre 1 seconde et 7 jours. Lorsque vous partagez le document présignéURL, la personne qui s'y trouve VPC peut exécuter l'action intégrée URL comme s'il s'agissait de l'utilisateur signataire d'origine. Lorsque le délai d'expiration est URL atteint, il URL expire et ne fonctionne plus.

Limiter les capacités présignées URL

Les fonctionnalités d'un présigné URL sont limitées par les autorisations de l'utilisateur qui l'a créé. Essentiellement, les jetons présignés URLs sont des jetons porteurs qui donnent accès à ceux qui les possèdent. À ce titre, nous vous recommandons de les protéger de manière appropriée.

AWS Version 4 de la signature (SigV4)

Pour appliquer un comportement spécifique lorsque les URL demandes présignées sont authentifiées à l'aide de AWS Signature Version 4 (Sigv4), vous pouvez utiliser des clés de condition dans les politiques de compartiment et les politiques de point d'accès. Par exemple, vous pouvez créer une politique de compartiment qui utilise cette s3-outposts:signatureAge condition pour refuser toute URL demande présignée Amazon S3 on Outposts sur les objets du example-outpost-bucket compartiment si la signature date de plus de 10 minutes. Pour utiliser cet exemple, remplacez espaces réservés à la saisie par l'utilisateur avec vos propres informations.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Deny a presigned URL request if the signature is more than 10 minutes old",
            "Effect": "Deny",
            "Principal": {"AWS":"444455556666"},
            "Action": "s3-outposts:*",
            "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*",
            "Condition": {
                "NumericGreaterThan": {"s3-outposts:signatureAge": 600000},
                "StringEquals": {"s3-outposts:authType": "REST-QUERY-STRING"}
            }
        }
    ]
}

Pour obtenir la liste des clés de condition et des exemples de politiques supplémentaires que vous pouvez utiliser pour appliquer un comportement spécifique lorsque des URL demandes présignées sont authentifiées à l'aide de Signature Version 4, voir. AWS Clés de politique spécifiques à l'authentification Signature Version 4 (SigV4)

Restriction de chemin réseau

Si vous souhaitez restreindre l'utilisation de l'accès présigné URLs et de tous les accès S3 on Outposts à des chemins réseau particuliers, vous pouvez écrire des politiques qui nécessitent un chemin réseau particulier. Pour définir la restriction sur le IAM principal qui passe l'appel, vous pouvez utiliser des politiques basées sur l'identité AWS Identity and Access Management (IAM) (par exemple, des politiques d'utilisateur, de groupe ou de rôle). Pour définir la restriction de la ressource S3 on Outposts, vous pouvez utiliser des stratégies basées sur les ressources (par exemple, des stratégies de compartiment et de point d'accès).

Une restriction du chemin réseau sur le IAM principal oblige l'utilisateur de ces informations d'identification à effectuer des demandes depuis le réseau spécifié. Une restriction sur le compartiment ou le point d'accès nécessite que toutes les requêtes adressées à cette ressource proviennent du réseau spécifié. Ces restrictions s'appliquent également en dehors du URL scénario présigné.

La condition IAM globale que vous utilisez dépend du type de point de terminaison. Si vous utilisez le point de terminaison public pour S3 on Outposts, utilisez aws:SourceIp. Si vous utilisez un VPC point de terminaison pour S3 sur Outposts, utilisez aws:SourceVpc ou. aws:SourceVpce

La déclaration IAM de politique suivante exige que le principal AWS n'accède qu'à partir de la plage réseau spécifiée. Avec cette déclaration de stratégie, tous les accès doivent provenir de cette plage, Cela inclut le cas de quelqu'un qui utilise un présigné URL pour S3 sur Outposts. Pour utiliser cet exemple, remplacez espaces réservés à la saisie par l'utilisateur avec vos propres informations.


{
    "Sid": "NetworkRestrictionForIAMPrincipal",
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
        "NotIpAddressIfExists": {"aws:SourceIp": "IP-address-range"},
        "BoolIfExists": {"aws:ViaAWSService": "false"}
    }
}

Pour un exemple de politique de compartiment qui utilise la clé de condition aws:SourceIP AWS globale pour restreindre l'accès à un compartiment S3 on Outposts à une plage réseau spécifique, consultez. Configuration IAM avec S3 sur Outposts

Qui peut créer un présigné URL

Toute personne possédant des informations de sécurité valides peut créer un présignéURL. Mais pour qu'un utilisateur puisse accéder correctement VPC à un objet, le présigné URL doit être créé par une personne autorisée à effectuer l'opération sur laquelle le présigné URL est basé.

Vous pouvez utiliser les informations d'identification suivantes pour créer un présigné URL :

IAMprofil d'instance — Valable jusqu'à 6 heures.
AWS Security Token Service— Valable jusqu'à 36 heures lorsqu'il est signé avec des informations d'identification permanentes, telles que les informations d'identification de l'utilisateur Compte AWS root ou d'un IAM utilisateur.
IAMutilisateur — Valable jusqu'à 7 jours lorsque vous utilisez AWS Signature Version 4.

Pour créer un document présigné URL valide jusqu'à 7 jours, déléguez IAM d'abord les informations d'identification utilisateur (la clé d'accès et la clé secrète) à SDK celui que vous utilisez. Générez ensuite un présigné à l'aide URL de la version 4 de la AWS signature.

Note

Si vous avez créé un jeton URL présigné à l'aide d'un jeton temporaire, URL celui-ci expire lorsque le jeton expire, même si vous l'avez créé URL avec une date d'expiration ultérieure.
Dans la mesure où les buckets S3 on Outposts sont autorisés à accéder à ceux qui les ont déjà signésURLs, nous vous recommandons de URL les protéger de manière appropriée. Pour plus d'informations sur la protection des documents présignésURLs, consultezLimiter les capacités présignées URL.

Quand est-ce que S3 on Outposts vérifie la date et l'heure d'expiration d'un présigné ? URL

Au moment de la HTTP demande, S3 on Outposts vérifie la date et l'heure d'expiration d'un document signé. URL Par exemple, si un client commence à télécharger un fichier volumineux immédiatement avant la date d'expiration, le téléchargement continue même si la date d'expiration intervient pendant le téléchargement. Cependant, si la connexion est perdue et que le client essaie de redémarrer le téléchargement une fois la date d'expiration passée, le téléchargement échoue.

Pour plus d'informations sur l'utilisation d'un présigné URL pour partager ou télécharger des objets, consultez les rubriques suivantes.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Réalisation d'un chargement partitionné

Partage d'objets