Praktik terbaik keamanan untuk bucket direktori

Ada sejumlah fitur keamanan yang perlu dipertimbangkan saat bekerja dengan bucket direktori. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai rekomendasi yang bermanfaat, bukan sebagai resep.

Pengaturan Blokir Akses Publik dan Kepemilikan Objek Default

Bucket direktori mendukung Blokir Akses Publik S3 dan Kepemilikan Objek S3. Fitur S3 ini digunakan untuk mengaudit dan mengelola akses ke bucket dan objek Anda.

Secara default, semua pengaturan Blok Akses Publik untuk bucket direktori diaktifkan. Selain itu, Kepemilikan Objek disetel ke pemilik bucket yang diberlakukan, yang berarti bahwa daftar kontrol akses (ACLs) dinonaktifkan. Pengaturan ini tidak dapat dimodifikasi. Untuk informasi selengkapnya tentang fitur ini, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda dan Mengontrol kepemilikan objek dan menonaktifkan bucket ACLs Anda.

catatan

Anda tidak dapat memberikan akses ke objek yang disimpan dalam bucket direktori. Anda hanya dapat memberikan akses ke bucket direktori Anda. Model otorisasi untuk S3 Express One Zone berbeda dari model otorisasi untuk Amazon S3. Untuk informasi selengkapnya, lihat Mengotorisasi operasi API titik akhir Zonal dengan CreateSession.

Autentikasi dan otorisasi

Mekanisme otentikasi dan otorisasi untuk bucket direktori berbeda-beda, tergantung apakah Anda membuat permintaan ke operasi API titik akhir Zonal atau operasi API titik akhir Regional. Operasi API Zona adalah operasi tingkat objek (bidang data). Operasi API regional adalah operasi tingkat bucket (bidang kontrol).

Anda mengautentikasi dan mengotorisasi permintaan ke operasi API titik akhir Zonal melalui mekanisme berbasis sesi baru yang dioptimalkan untuk memberikan latensi terendah. Dengan autentikasi berbasis sesi, AWS SDKs gunakan operasi CreateSession API untuk meminta kredensil sementara yang menyediakan akses latensi rendah ke bucket direktori Anda. Kredensial sementara ini dicakup ke bucket direktori tertentu dan kedaluwarsa setelah 5 menit. Anda dapat menggunakan kredensial sementara ini untuk menandatangani panggilan API Zona (tingkat objek). Untuk informasi selengkapnya, lihat Mengotorisasi operasi API titik akhir Zonal dengan CreateSession.

Menandatangani permintaan dengan kredensil untuk manajemen bucket direktori

Anda menggunakan kredensi Anda untuk menandatangani permintaan API titik akhir Zonal (level objek) dengan AWS Signature Version 4, dengan nama layanans3express. Saat Anda menandatangani permintaan, gunakan kunci rahasia yang dikembalikan dari CreateSession dan berikan juga token sesi dengan x-amzn-s3session-token header. Untuk informasi selengkapnya, lihat CreateSession.

Kredensi AWS SDKs kelola yang didukung dan penandatanganan atas nama Anda. Sebaiknya gunakan AWS SDKs untuk menyegarkan kredensil dan menandatangani permintaan untuk Anda.

Menandatangani permintaan dengan kredensial IAM

Semua panggilan API Regional (tingkat bucket) harus diautentikasi dan ditandatangani oleh kredensial AWS Identity and Access Management (IAM), bukan kredensial sesi sementara. Kredensial IAM terdiri atas ID kunci akses dan kunci akses rahasia untuk identitas IAM. Semua permintaan CopyObject dan HeadBucket juga harus diautentikasi dan ditandatangani menggunakan kredensial IAM.

Untuk mencapai latensi terendah untuk panggilan operasi Zonal (tingkat objek) Anda, sebaiknya gunakan kredensil yang diperoleh dari panggilan CreateSession untuk menandatangani permintaan Anda, kecuali untuk permintaan ke dan. CopyObject HeadBucket

Gunakan AWS CloudTrail

AWS CloudTrail menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau Layanan AWS di Amazon S3. Anda dapat menggunakan informasi yang dikumpulkan oleh CloudTrail untuk menentukan hal-hal berikut:

• Permintaan yang diajukan ke Amazon S3

• Alamat IP dari mana permintaan itu dibuat

• Siapa yang membuat permintaan

• Kapan permintaan dibuat

• Detail tambahan tentang permintaan

Saat Anda mengatur Akun AWS, acara CloudTrail manajemen diaktifkan secara default. Operasi API titik akhir Regional berikut (tingkat ember, atau bidang kontrol, operasi API) dicatat. CloudTrail

• CreateBucket

• DeleteBucket

• DeleteBucketPolicy

• PutBucketPolicy

• GetBucketPolicy

• ListDirectoryBuckets

• ListMultipartUploads

• PutBucketEncryption

• GetBucketEncryption

• DeleteBucketEncryption

catatan

ListMultipartUploadsadalah operasi API titik akhir Zonal. Namun, itu dicatat CloudTrail sebagai acara manajemen. Untuk informasi selengkapnya, lihat ListMultipartUploads dalam Referensi API Amazon Simple Storage Service.

Secara default, CloudTrail jejak tidak mencatat peristiwa data, tetapi Anda dapat mengonfigurasi jejak untuk mencatat peristiwa data untuk bucket direktori yang Anda tentukan, atau untuk mencatat peristiwa data untuk semua bucket direktori di akun Anda. AWS Operasi API titik akhir Zonal berikut (tingkat objek, atau bidang data, operasi API) dicatat. CloudTrail

• AbortMultipartUpload

• CompleteMultipartUpload

• CreateSession

• CopyObject

• CreateMultipartUpload

• DeleteObject

• DeleteObjects

• GetObject

• GetObjectAttributes

• HeadBucket

• HeadObject

• ListObjectsV2

• ListParts

• PutObject

• UploadPart

• UploadPartCopy

Untuk informasi selengkapnya tentang penggunaan AWS CloudTrail dengan bucket direktori, lihat Logging with AWS CloudTrail for directory bucket.

Melaksanakan pemantauan dengan menggunakan alat AWS pemantauan

Pemantauan adalah bagian penting dalam menjaga keandalan, keamanan, ketersediaan, dan kinerja Amazon S3 dan solusi Anda AWS . AWS menyediakan beberapa alat dan layanan untuk membantu Anda memantau Amazon S3 dan yang lain. Layanan AWS Misalnya, Anda dapat memantau CloudWatch metrik Amazon untuk Amazon S3, khususnya metrik penyimpanan NumberOfObjects dan BucketSizeBytes penyimpanan.

Objek yang disimpan dalam bucket direktori tidak akan tercermin dalam metrik NumberOfObjects penyimpanan BucketSizeBytes dan untuk Amazon S3. Namun, metrik BucketSizeBytes dan NumberOfObjects penyimpanan didukung untuk bucket direktori. Untuk melihat metrik pilihan Anda, Anda dapat membedakan antara kelas penyimpanan Amazon S3 dengan menentukan dimensi. StorageType Untuk informasi selengkapnya, lihat Memantau metrik dengan Amazon CloudWatch.

Untuk informasi selengkapnya, lihat Memantau metrik dengan Amazon CloudWatch dan Pencatatan log dan pemantauan di Amazon S3.