Utilizzo di presigned URLs per S3 su Outposts

Per concedere un accesso limitato nel tempo agli oggetti archiviati localmente su Outpost senza aggiornare la tua policy sui bucket, puoi utilizzare un presigned. URL Con presignedURLs, in qualità di proprietario del bucket puoi condividere oggetti con altre persone nel tuo cloud privato virtuale (VPC) o concedere loro la possibilità di caricare o eliminare oggetti.

Quando crei un predefinito URL utilizzando il AWS SDKs o il AWS Command Line Interface (AWS CLI), lo associ a un'azione URL specifica. Puoi inoltre concedere un accesso limitato nel tempo ai predefiniti URL scegliendo un tempo di scadenza personalizzato che può essere compreso tra 1 secondo e massimo 7 giorni. Quando condividi il prefirmatoURL, la persona che ne fa parte VPC può eseguire l'azione incorporata nel file URL come se fosse l'utente firmatario originale. Quando URL raggiunge la scadenza, URL scade e non funziona più.

Limitazione delle funzionalità predefinite URL

Le funzionalità di un file predefinito URL sono limitate dalle autorizzazioni dell'utente che lo ha creato. In sostanza, i presigned URLs sono token portatori che garantiscono l'accesso a chi li possiede. Pertanto, consigliamo di proteggerli in modo appropriato.

AWS Signature Version 4 (SigV4)

Per imporre un comportamento specifico quando URL le richieste prefirmate vengono autenticate utilizzando AWS Signature Version 4 (SigV4), puoi utilizzare le chiavi di condizione nelle policy dei bucket e nelle politiche dei punti di accesso. Ad esempio, puoi creare una policy bucket che utilizzi la s3-outposts:signatureAge condizione per rifiutare qualsiasi richiesta prefirmata di Amazon S3 on URL Outposts sugli oggetti example-outpost-bucket nel bucket se la firma risale a più di 10 minuti. Per utilizzare questo esempio, sostituisci il segnaposti di input dall'utente con le tue informazioni.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Deny a presigned URL request if the signature is more than 10 minutes old",
            "Effect": "Deny",
            "Principal": {"AWS":"444455556666"},
            "Action": "s3-outposts:*",
            "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*",
            "Condition": {
                "NumericGreaterThan": {"s3-outposts:signatureAge": 600000},
                "StringEquals": {"s3-outposts:authType": "REST-QUERY-STRING"}
            }
        }
    ]
}

Per un elenco di chiavi di condizione e ulteriori esempi di policy che è possibile utilizzare per imporre un comportamento specifico quando URL le richieste prefirmate vengono autenticate utilizzando la versione 4 di Signature, vedere. AWS Chiavi di policy specifiche per l'autenticazione Signature Version 4 (SigV4)

Limitazioni per percorso di rete

Se desideri limitare l'uso dell'accesso prefirmato URLs e di tutto S3 on Outposts a determinati percorsi di rete, puoi scrivere policy che richiedono un percorso di rete particolare. Per impostare la restrizione sul IAM principale che effettua la chiamata, puoi utilizzare criteri basati sull'identità AWS Identity and Access Management (IAM) (ad esempio, criteri relativi a utenti, gruppi o ruoli). Per impostare la restrizione sulla risorsa S3 su Outposts, puoi utilizzare le policy sulle risorse (ad esempio, policy di bucket e punti di accesso).

Una restrizione del percorso di rete sul IAM principale richiede che l'utente di tali credenziali effettui richieste dalla rete specificata. Una restrizione sul bucket o sul punto di accesso richiede che tutte le richieste a quella risorsa provengano dalla rete specificata. Queste restrizioni si applicano anche al di fuori dello scenario predefinito. URL

La condizione IAM globale utilizzata dipende dal tipo di endpoint. Se utilizzi l'endpoint pubblico per S3 su Outposts, utilizza aws:SourceIp. Se utilizzi un VPC endpoint per S3 su Outposts, usa o. aws:SourceVpc aws:SourceVpce

La seguente dichiarazione IAM politica richiede che il principale acceda AWS solo dall'intervallo di rete specificato. Con questa istruzione della policy, tutti gli accessi devono avere origine da tale intervallo. Ciò include il caso di qualcuno che utilizza un preset URL per S3 su Outposts. Per usare questo esempio, sostituisci il segnaposti di input dall'utente con le tue informazioni.

{
    "Sid": "NetworkRestrictionForIAMPrincipal",
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
        "NotIpAddressIfExists": {"aws:SourceIp": "IP-address-range"},
        "BoolIfExists": {"aws:ViaAWSService": "false"}
    }
}

Per un esempio di policy bucket che utilizza la chiave aws:SourceIP AWS global condition per limitare l'accesso a un bucket S3 on Outposts a un intervallo di rete specifico, vedi. Configurazione IAM con S3 su Outposts

Chi può creare un predefinito URL

Chiunque disponga di credenziali di sicurezza valide può creare un prefirmato. URL Tuttavia, affinché un utente possa accedere correttamente VPC a un oggetto, il prefirmato URL deve essere creato da qualcuno che dispone dell'autorizzazione per eseguire l'operazione su cui si basa il prefirmatoURL.

È possibile utilizzare le seguenti credenziali per creare un predefinito: URL

• IAMprofilo di istanza: valido fino a 6 ore.

• AWS Security Token Service— Valido fino a 36 ore se firmato con credenziali permanenti, come le credenziali dell'utente Account AWS root o di un IAM utente.

• IAMutente: valido fino a 7 giorni se utilizzi AWS Signature Version 4.

  Per creare un predefinito URL valido per un massimo di 7 giorni, delega innanzitutto le credenziali IAM utente (la chiave di accesso e la chiave segreta) a SDK quello che stai utilizzando. Quindi, genera un predefinito utilizzando AWS la versione 4 URL di Signature.

Nota

• Se hai creato un prefirmato URL utilizzando un token temporaneo, questo URL scade alla scadenza del token, anche se lo hai creato URL con una scadenza successiva.

• Poiché presigned URLs concede l'accesso ai tuoi bucket S3 on Outposts a chiunque li possiedaURL, ti consigliamo di proteggerli in modo appropriato. Per ulteriori informazioni sulla protezione dei predefiniti, consulta. URLs Limitazione delle funzionalità predefinite URL

Quando S3 on Outposts controlla la data e l'ora di scadenza di un prefirmato? URL

Al momento della HTTP richiesta, S3 on Outposts verifica la data e l'ora di scadenza di un firmatario. URL Ad esempio, se un client inizia a scaricare un file di grandi dimensioni immediatamente prima dell'ora di scadenza, il download viene completato anche se l'ora di scadenza viene superata. Se la connessione TCP viene interrotta e il client prova a riavviare il download dopo la scadenza, il download non riesce.

Per ulteriori informazioni sull'utilizzo di un predefinito URL per condividere o caricare oggetti, consulta i seguenti argomenti.

Argomenti

• Condivisione di oggetti utilizzando presigned URLs
• Generazione di un preimpostato URL per caricare un oggetto su un bucket S3 on Outposts