Praktik terbaik keamanan untuk S3 Express One Zone

Amazon S3 Express One Zone menyediakan sejumlah fitur keamanan untuk dipertimbangkan ketika Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai rekomendasi yang bermanfaat, bukan sebagai resep.

Pengaturan Blokir Akses Publik dan Kepemilikan Objek Default

Untuk menggunakan kelas penyimpanan S3 Express One Zone, Anda harus menggunakan bucket direktori S3. Bucket direktori mendukung Blokir Akses Publik S3 dan Kepemilikan Objek S3. Fitur S3 ini digunakan untuk mengaudit dan mengelola akses ke bucket dan objek Anda.

Secara default, semua pengaturan Blok Akses Publik untuk bucket direktori diaktifkan. Selain itu, Kepemilikan Objek disetel ke pemilik bucket yang diberlakukan, yang berarti bahwa daftar kontrol akses (ACLs) dinonaktifkan. Pengaturan ini tidak dapat dimodifikasi. Untuk informasi selengkapnya tentang fitur ini, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda dan Mengontrol kepemilikan objek dan menonaktifkan bucket ACLs Anda.

catatan

Anda tidak dapat memberikan akses ke objek yang disimpan dalam bucket direktori. Anda hanya dapat memberikan akses ke bucket direktori Anda. Model otorisasi untuk S3 Express One Zone berbeda dari model otorisasi untuk Amazon S3. Untuk informasi selengkapnya, lihat CreateSessionotorisasi.

Autentikasi dan otorisasi

Mekanisme otentikasi dan otorisasi untuk S3 Express One Zone berbeda, tergantung pada apakah Anda membuat permintaan untuk operasi titik akhir Zonal atau API operasi titik akhir Regional. API APIOperasi zona adalah operasi tingkat objek (bidang data). APIOperasi regional adalah operasi tingkat ember (bidang kontrol).

Dengan S3 Express One Zone, Anda mengautentikasi dan mengotorisasi permintaan ke API operasi titik akhir Zonal melalui mekanisme berbasis sesi baru yang dioptimalkan untuk memberikan latensi terendah. Dengan otentikasi berbasis sesi, AWS SDKsgunakan CreateSession API operasi untuk meminta kredensil sementara yang menyediakan akses latensi rendah ke bucket direktori Anda. Kredensial sementara ini dicakup ke bucket direktori tertentu dan kedaluwarsa setelah 5 menit. Anda dapat menggunakan kredensil sementara ini untuk menandatangani panggilan Zonal (level objek). API Untuk informasi selengkapnya, lihat CreateSessionotorisasi.

Menandatangani permintaan dengan kredensial S3 Express One Zone

Anda menggunakan kredensi S3 Express One Zone Anda untuk menandatangani permintaan titik akhir Zonal (tingkat objek) dengan API AWS Signature Version 4s3express, dengan nama layanan. Saat Anda menandatangani permintaan, gunakan kunci rahasia yang dikembalikan dari CreateSession dan berikan juga token sesi dengan x-amzn-s3session-token header. Untuk informasi selengkapnya, silakan lihat CreateSession.

Yang didukung AWS SDKsuntuk kelas S3 Express One Zone mengelola kredensil dan menandatangani atas nama Anda. Kami merekomendasikan menggunakan AWS SDKsuntuk S3 Express One Zone untuk menyegarkan kredensil dan menandatangani permintaan untuk Anda.

Menandatangani permintaan dengan IAM kredensil

Semua API panggilan Regional (tingkat ember) harus diautentikasi dan ditandatangani oleh AWS Identity and Access Management (IAM) kredensil alih-alih kredensil sesi sementara. IAMkredensil terdiri dari ID kunci akses dan kunci akses rahasia untuk identitas. IAM Semua CopyObject dan HeadBucket permintaan juga harus diautentikasi dan ditandatangani dengan menggunakan IAM kredensil.

Untuk mencapai latensi terendah bagi panggilan operasi Zona (tingkat objek) Anda, kami menyarankan untuk menggunakan kredensial S3 Express One Zone yang diperoleh dari panggilan CreateSession untuk menandatangani permintaan Anda, kecuali untuk permintaan ke CopyObject dan HeadBucket.

Gunakan AWS CloudTrail

AWS CloudTrail memberikan catatan tindakan yang diambil oleh pengguna, peran, atau Layanan AWS di Amazon S3. Anda dapat menggunakan informasi yang dikumpulkan oleh CloudTrail untuk menentukan hal-hal berikut:

• Permintaan yang diajukan ke Amazon S3

• Alamat IP dari mana permintaan itu dibuat

• Siapa yang membuat permintaan

• Kapan permintaan dibuat

• Detail tambahan tentang permintaan

Saat Anda mengatur Akun AWS, acara CloudTrail manajemen diaktifkan secara default. APIOperasi titik akhir Regional berikut (tingkat ember, atau bidang kontrol, API operasi) dicatat ke. CloudTrail

• CreateBucket

• DeleteBucket

• DeleteBucketPolicy

• PutBucketPolicy

• GetBucketPolicy

• ListDirectoryBuckets

• ListMultipartUploads

• PutBucketEncryption

• GetBucketEncryption

• DeleteBucketEncryption

catatan

ListMultipartUploadsadalah operasi titik akhir API Zonal. Namun, itu dicatat CloudTrail sebagai acara manajemen. Untuk informasi selengkapnya, silakan lihat ListMultipartUploadsdi APIReferensi Layanan Penyimpanan Sederhana Amazon.

Secara default, CloudTrail jejak tidak mencatat peristiwa data, tetapi Anda dapat mengonfigurasi jejak untuk mencatat peristiwa data untuk bucket direktori yang Anda tentukan, atau untuk mencatat peristiwa data untuk semua bucket direktori di AWS akun. APIOperasi titik akhir Zonal berikut (tingkat objek, atau bidang data, API operasi) dicatat ke. CloudTrail

• AbortMultipartUpload

• CompleteMultipartUpload

• CreateSession

• CopyObject

• CreateMultipartUpload

• DeleteObject

• DeleteObjects

• GetObject

• GetObjectAttributes

• HeadBucket

• HeadObject

• ListObjectsV2

• ListParts

• PutObject

• UploadPart

• UploadPartCopy

Untuk informasi lebih lanjut tentang penggunaan AWS CloudTrail dengan S3 Express One Zone, lihat Logging with AWS CloudTrail untuk S3 Express One Zone.

Melaksanakan pemantauan dengan menggunakan AWS alat pemantauan

Pemantauan adalah bagian penting dalam menjaga keandalan, keamanan, ketersediaan, dan kinerja Amazon S3 dan Anda AWS solusi. AWS menyediakan beberapa alat dan layanan untuk membantu Anda memantau Amazon S3 dan yang lain Layanan AWS. Misalnya, Anda dapat memantau CloudWatch metrik Amazon untuk Amazon S3, khususnya metrik penyimpanan NumberOfObjects dan BucketSizeBytes penyimpanan.

Objek yang disimpan di kelas penyimpanan S3 Express One Zone tidak akan tercermin dalam metrik penyimpanan BucketSizeBytes dan NumberOfObjects untuk Amazon S3. Namun, metrik penyimpanan BucketSizeBytes dan NumberOfObjects didukung untuk S3 Express One Zone. Untuk melihat metrik pilihan Anda, Anda dapat membedakan antara kelas penyimpanan Amazon S3 dan kelas penyimpanan S3 Express One Zone dengan menentukan dimensi StorageType. Untuk informasi selengkapnya, lihat Memantau metrik dengan Amazon CloudWatch.

Untuk informasi selengkapnya, silakan lihat Memantau metrik dengan Amazon CloudWatch dan Pemantauan Amazon S3.