Práticas recomendadas de segurança para a classe S3 Express One Zone

A classe Amazon S3 Express One Zone fornece uma série de recursos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As melhores práticas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como recomendações úteis em vez de requisitos.

Configurações padrão das funcionalidades Bloqueio de Acesso Público e Propriedade de Objetos

Para usar a classe de armazenamento S3 Express One Zone, você deve usar um bucket de diretório do S3. Os buckets de diretório oferecem suporte às funcionalidades Bloqueio de Acesso Público do S3 e Propriedade de Objetos do S3. Esses recursos do S3 são usados para auditoria e gerenciamento de acesso aos buckets e objetos.

Por padrão, todas as configurações da funcionalidade Bloqueio de Acesso Público são habilitadas para buckets de diretório. Além disso, a funcionalidade Propriedade de Objetos está definida como Imposto pelo proprietário do bucket, o que significa que as listas de controle de acesso (ACLs) estão desabilitadas. Essas configurações não podem ser modificadas. Para obter mais informações sobre esses recursos, consulte Bloquear o acesso público ao armazenamento do Amazon S3 e Controlar a propriedade de objetos e desabilitar ACLs para seu bucket.

nota

Você não pode conceder acesso a objetos armazenados em buckets de diretório. Você pode conceder acesso somente aos seus buckets de diretório. O modelo de autorização para a classe S3 Express One Zone é diferente do modelo de autorização para o Amazon S3. Para ter mais informações, consulte CreateSession authorization.

Autenticação e autorização

Conforme você fizer solicitações para operações de API de endpoint zonal ou operações de API de endpoint regional, os mecanismos de autenticação e autorização da classe S3 Express One Zone serão diferentes. As operações de API zonais são operações em nível de objeto (plano de dados). As operações de API regionais são operações em nível de bucket (ambiente de gerenciamento).

Com a classe S3 Express One Zone, você autentica e autoriza solicitações para as operações de API de endpoint zonal por meio de um novo mecanismo baseado em sessão que é otimizado para fornecer a menor latência. Com a autenticação baseada em sessão, os SDKs da AWS usam a operação de API CreateSession para solicitar credenciais temporárias que fornecem acesso de baixa latência ao bucket de diretório. Essas credenciais temporárias têm como escopo um bucket de diretório específico e expiram depois de 5 minutos. Você pode usar essas credenciais temporárias para assinar chamadas de API zonais (nível de objeto). Para ter mais informações, consulte CreateSession authorization.

Assinar solicitações com credenciais da classe S3 Express One Zone

Use credenciais da classe S3 Express One Zone para assinar solicitações de API de endpoint zonal (nível de objeto) com o AWS Signature Version 4, usando s3express como nome de serviço. Ao assinar as solicitações, use a chave secreta retornada por CreateSession e também forneça o token de sessão com x-amzn-s3session-token header. Para ter mais informações, consulte CreateSession.

Os AWS SDKs compatíveis com a classe S3 Express One Zone gerenciam as credenciais e a assinatura em seu nome. Recomendamos usar os SDKs da AWS da classe S3 Express One Zone para atualizar as credenciais e assinar solicitações para você.

Assinar solicitações com credenciais do IAM

Todas as chamadas de API regionais (nível de bucket) devem ser autenticadas e assinadas por credenciais do AWS Identity and Access Management (IAM) em vez de credenciais temporárias de sessão. As credenciais do IAM consistem no ID da chave de acesso e na chave de acesso secreta para as identidades do IAM. Todas as solicitações CopyObject e HeadBucket também devem ser autenticadas e assinadas usando credenciais do IAM.

Para alcançar a menor latência para as chamadas de operação zonal (nível de objeto), recomendamos usar as credenciais da classe S3 Express One Zone obtidas da chamada de CreateSession para assinar as solicitações, exceto para as solicitações de CopyObject e HeadBucket.

Usar o AWS CloudTrail

O AWS CloudTrail fornece um registro das ações executadas por um usuário, perfil ou AWS service (Serviço da AWS) no Amazon S3. É possível usar as informações coletadas pelo CloudTrail para determinar o seguinte:

• A solicitação feita ao Amazon S3

• O endereço IP do qual a solicitação foi feita.

• Quem fez a solicitação.

• Quando a solicitação foi feita

• Detalhes adicionais sobre a solicitação

Quando você configura a Conta da AWS, os eventos de gerenciamento do CloudTrail são habilitados por padrão. As operações de API de endpoint regional a seguir (operações de API em nível de bucket ou ambiente de gerenciamento) são registradas em log no CloudTrail.

• CreateBucket

• DeleteBucket

• DeleteBucketPolicy

• PutBucketPolicy

• GetBucketPolicy

• ListDirectoryBuckets

• ListMultipartUploads

• PutBucketEncryption

• GetBucketEncryption

• DeleteBucketEncryption

nota

ListMultipartUploads é uma operação de API de endpoint zonal. No entanto, ela é registrada no CloudTrail como um evento de gerenciamento. Para obter mais informações, consulte ListMultipartUploads na Referência da API do Amazon Simple Storage Service.

Por padrão, as trilhas do CloudTrail não registram eventos de dados, mas é possível configurar as trilhas para registrar eventos de dados para buckets de diretório especificados, ou para registrar eventos de dados para todos os buckets de diretório na sua conta AWS. As operações de API de endpoint zonal a seguir (operações de API em nível de objeto ou plano de dados) são registradas no CloudTrail.

• AbortMultipartUpload

• CompleteMultipartUpload

• CreateSession

• CopyObject

• CreateMultipartUpload

• DeleteObject

• DeleteObjects

• GetObject

• GetObjectAttributes

• HeadBucket

• HeadObject

• ListObjectsV2

• ListParts

• PutObject

• UploadPart

• UploadPartCopy

Para ter mais informações sobre como usar o AWS CloudTrail com a classe S3 Express One Zone, consulte Logging with AWS CloudTrail for S3 Express One Zone.

Implementar o monitoramento usando as ferramentas de monitoramento da AWS

O monitoramento é uma parte importante para manter a confiabilidade, segurança, disponibilidade e performance do Amazon S3 e suas soluções da AWS. A AWS fornece várias ferramentas e serviços para ajudar a monitorar o Amazon S3 e outros Serviços da AWS. Por exemplo, é possível monitorar métricas do Amazon CloudWatch para o Amazon S3, particularmente as métricas de armazenamento BucketSizeBytes e NumberOfObjects.

Os objetos armazenados na classe de armazenamento S3 Express One Zone não serão refletidos nas métricas de armazenamento BucketSizeBytes e NumberOfObjects do Amazon S3. No entanto, as métricas de armazenamento BucketSizeBytes e NumberOfObjects são compatíveis com a classe S3 Express One Zone. Para ver as métricas de sua escolha, você pode diferenciar entre as classes de armazenamento do Amazon S3 e a classe de armazenamento S3 Express One Zone especificando uma dimensão StorageType. Para ter mais informações, consulte Monitoramento de métricas com o Amazon CloudWatch.

Para ter mais informações, consulte Monitoramento de métricas com o Amazon CloudWatch e Monitorar o Amazon S3.