本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
额外的护栏
当解决方案构建者和用户适当地使用预签名的请求时,它们为用户提供了一种安全的数据访问机制。此外,生成预签名请求的功能并不能为委托人提供他们尚未拥有的访问权限。
在这种情况下,是否需要额外的控制措施? 采取额外控制措施的理由不是基于拒绝访问的需求,而是为了提供监控、批准使用情况和设定界限以及降低用户错误风险的能力。通过这种方式,您可以帮助确保使用是适当和必要的。
以下护栏可帮助您实现这一目标。在启用这些控件之前,您可能需要通过识别预签名的请求来确定现有使用情况。这种识别可以帮助您为护栏对现有使用情况的影响做好准备,或者在需要时计划例外情况。
s3: SignatureAge 的护栏
预签名请求的一个决定性特征是它们描述了过期时间。请求的签名包含日期。对于预签名,此日期作为X-Amz-Date查询字符串参数传输 URLs,对于预签名 POST,则作为日期或 x-amz-date标题传输。
Amazon S3 提供了一个名为 s3: SignatureAge 的条件密钥,您可以使用它来限制从签名日期到请求的有效到期之间的最长时间。这种情况永远不会延长有效期,但可以缩短有效期。
在以下策略中,s3:signatureAge条件键将预签名请求的有效期限制为 15 分钟。以下示例均使用 15 分钟将有效期限制在与标准签名支持的类似时间范围内。
该策略的第二条声明拒绝任何签名版本 2 的访问权限。此版本的签名协议已被弃用,但某些 AWS 区域版本仍受支持。我们建议您在将其完全弃用之前明确屏蔽它。
您可以将以下策略应用为 AWS Organizations 服务控制策略 (SCP)。只要签名生成和使用之间的时间少于 15 分钟,用户仍然可以使用预签名请求并部署依赖于这些请求的解决方案。根据实现的不同,此限制可能不会产生任何影响,也可能导致解决方案无法使用,或者可能导致偶尔出现故障,可以重试。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyPresignedOver15Minutes", "Effect": "Deny", "Action": "s3:*", "Resource": "*", "Condition": { "NumericGreaterThan": { "s3:signatureAge": "900000" } } }, { "Sid": "DenySignatureVersion2", "Effect": "Deny", "Action": "s3:*", "Resource": "*", "Condition": { "StringEquals": { "s3:signatureversion": "AWS" } } } ] }
异常
如果解决方案需要更长的时间才能到期,因此受到上述政策的影响,我们建议您提供一种批准例外情况的方法。为避免枚举 SCP 中的异常,请使用 a ws: PrincipalTag,如以下策略所示,以可扩展的方式管理异常。其他 AWS 示例,例如 AWS 数据边界策略示例
如果您通过使用实现异常策略aws:PrincipalTag,则必须控制对委托人设置标签的访问权限。这种类型的标签可以直接来自委托人,也可以由 SCP 控制,如控制可以设置哪些标签值的示例aws:PrincipalTag是一个复杂的话题。但是,具有使用基于属性的访问控制 (ABAC) 经验的组织将具有相应的经验和控制能力,可以aws:PrincipalTag针对此用例进行适当的使用。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyPresignedOver15Minutes", "Effect": "Deny", "Action": "s3:*", "Resource": "*", "Condition": { "NumericGreaterThan": { "s3:signatureAge": "900000" }, --- Example exception --- "StringNotEquals": { "aws:PrincipalTag/long-presigned-allowed": "true" } --- Example exception end --- } } ] }
存储桶策略
您可以使用策略将存储桶策略应用于所有或选定的存储桶,如下例所示。与 SCP 不同,存储桶策略还针对服务委托人的使用情况。附录 A 没有记录预签名请求的任何预期服务主体使用情况,但是如果您想实施控制以证明该限制,则以下策略将提供该控制权。此外,与 SCP 不同,存储桶策略可以应用于管理账户中的委托人。基于 ABAC 的异常在存储桶策略中的作用方式与 SCP 相同。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyPresignedOver15Minutes", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::{bucket-name}/*", "Condition": { "NumericGreaterThan": { "s3:signatureAge": "900000" }, --- Example exception --- "StringNotEquals": { "aws:PrincipalTag/long-presigned-allowed": "true" } --- Example exception end --- } } ] }
s3: authType 的护栏
预签名 URLs 使用查询字符串身份验证,预签名 POSTs 始终使用 P OST 身份验证。Amazon S3 支持通过 s3: authType 条件密钥根据身份验证类型拒绝请求。 REST-QUERY-STRING是查询字符串的s3:authType值,POST也是 POST 的s3:authType值。
您可以作为 SCP 应用以下策略。该策略用于仅s3:authType允许基于标头的身份验证。它还配置了一种向单个用户或角色提供例外情况的方法。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyNonHeaderAuth", "Effect": "Deny", "Action": "s3:*", "Resource": "*", "Condition": { "StringNotEquals": { "s3:authType": "REST-HEADER", "aws:PrincipalTag/non-header-auth-allowed": "true" } } } ] }
根据身份验证类型拒绝请求会影响使用被拒绝身份验证类型的任何解决方案或功能。例如,拒绝REST-QUERY-STRING会阻止用户从 Amazon S3 控制台进行上传或下载。如果您希望用户使用 Amazon S3 控制台,请不要使用此护栏,也不要将用户作为例外。另一方面,如果您不希望用户使用 Amazon S3 控制台,则可以拒绝REST-QUERY-STRING用户使用。
也许您已经拒绝用户直接访问 Amazon S3 资源。在这种情况下,身份验证类型的护栏是多余的。但是,s3:authType拒绝语句提供了 defense-in-depth实用性,因为拒绝直接访问的实现通常跨越许多控制语句,有些则有例外。
用于工作负载的角色通常不需要访问查询字符串或POST身份验证。支持旨在使用预签名请求的服务的角色除外。您可以为这些角色创建特定的例外情况。
您还可以使用诸如以下的策略将存储桶策略应用于所有或选定的存储桶:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyNonHeaderAuth", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::{bucket-name}/*", "Condition": { "StringNotEquals": { "s3:authType": "REST-HEADER", "aws:PrincipalTag/non-header-auth-allowed": "true" } } } ] }
此存储桶策略的效果是拒绝使用CopyObject和UploadPartCopy APIs 制作跨区域副本。Amazon S3 复制不会受到影响,因为它不依赖这些 APIs。
如果您想使用诸如上述策略之类的存储桶策略,但仍支持跨区域CopyObject或 UploadPartCopyAPI,请添加aws:ViaAWSService类似于以下内容的条件:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyNonHeaderAuth", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::{bucket-name}/*", "Condition": { "StringNotEquals": { "s3:authType": "REST-HEADER", "aws:PrincipalTag/non-header-auth-allowed": "true" }, "Bool": { "aws:ViaAWSService": "false" }, } } ] }
将预先签名的护栏和其他护栏的例外情况结合起来
如果您不打算对您的用户和角色普遍使用护栏,则可能需要将其应用于其他常见护栏的例外情况,这样这些例外就不支持预签名的请求。
如果您有网络限制,但允许外部合作伙伴例外情况或特殊用例,则应在应用这些例外情况时屏蔽查询字符串或POST身份验证,除非明确标识为必填项。
s3: SignatureAge 的限制
管理员会发现,s3:signatureAge更全面地了解其含义很有用。每个已签署的请求都包括X-Amz-Date,它应注明当前时间。此值由客户端和请求签名者填写。 AWS 拒绝它认为时间无效的请求。但是,签名者可以在 future 的时间内提前生成签名。如果请求提前发送得太早,Amazon S3 会拒绝指定未来时间的请求。但是,如果请求直到签名后才发送,则签名可能会更早生成,然后再发送。
s3:signatureAge仅对预签名X-Amz-Date请求限制签名的最大年限。 超过指定年龄的申请将被拒绝,即使保单到期X-Amz-Expires或POST保单本来会宣布其有效。 s3:signatureAge不会更改不包含明确到期日期的请求的有效期。它也无法控制客户端用于签名的值。X-Amz-Date
如果系统时钟错误,或者客户故意将日期设置为未来日期,则签名时间可能不是生成签名的时间。 这限制了解决方案s3:signatureAge可以控制的程度。使用生成签名的当前时间的解决方案会受到预期的限制:签名在中指定的毫秒数内保持有效。s3:signatureAge 不使用当前时间的解决方案会有不同的限制。一个限制是,用于签署签名的证书必须仍然有效。作为管理员,您可以控制所颁发的临时证书的最大有效期。 您可以允许证书的有效期最长 36 小时,也可以将有效期限制在 15 分钟以内。 临时证书的到期时间不取决于的值X-Amz-Date。
永久凭证没有此限制。 仅使用临时证书是最佳做法,您可以明确撤销任何永久证书,这也会使基于该凭证的所有签名失效。
尽管s3:signatureAge以毫秒为单位,但将其设置为小于 60 秒是不切实际的,即使您的时钟同步良好,使用延迟也很低。 低于 60 秒的设置存在拒绝有效请求的风险。如果您预计签名生成和请求提交之间会出现延迟,或者时钟同步出现问题,则应在管理中考虑这些问题s3:signatureAge。
大规模定位存储桶
SCPs 可以aws:PrincipalTag用来为用户设置例外。您不能在存储桶上使用标签来控制访问权限 aws:ResourceTag —— 只有对象标签用于访问控制。向要应用此控件的每个对象添加标签通常无法扩展。
适合许多用例的解决方案是在账户级别应用策略和例外情况,方法是更改 SCP 适用的账户,或者使用 aws: ResourceAccount、aws: 或 a w s: ResourceOrg ID。ResourceOrgPaths例如,可以将 SCP 应用于一组生产帐户。
另一种解决方案是使用自定义 AWS Config 规则来实现侦探控件或响应式控件。目标是让每个存储桶都包含带有适当护栏的存储桶策略。除了测试存储桶策略的内容外,如果存储桶使用特定值标记,则自定义 AWS Config 规则还可以从存储桶中检索标签,并从规则中排除该存储桶。如果该规则未通过合规性检查,则它可以将存储桶标记为不合规,也可以调用补救措施将护栏添加到存储桶的策略中。
注意
您不能将请求的标签内容限制为PutBucketTagging。要控制存储桶的标记方式,必须限制对PutBucketTagging和的访问权限DeleteBucketTagging。
