S3 Express One Zone 的安全最佳實務

在您開發和實作自己的安全政策時，可考慮使用 Amazon S3 Express One Zone 提供的多種安全功能。以下最佳實務為一般準則，並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求，因此請將其視為實用建議就好，而不要當作是指示。

預設封鎖公開存取和物件擁有權設定

若要使用 S3 Express One Zone 儲存類別，您必須使用 S3 目錄儲存貯體。目錄儲存貯體支援 S3 封鎖公開存取和 S3 物件擁有權。這些 S3 功能可用來稽核和管理對儲存貯體和物件的存取權。

根據預設，目錄儲存貯體的所有封鎖公開存取設定都會啟用。此外，「物件擁有權」設定為「強制值區擁有者」，這表示存取控制清單 (ACLs) 已停用。這些設定無法修改。如需這些功能的詳細資訊，請參閱 封鎖對 Amazon S3 儲存體的公開存取權 和 控制物件的擁有權並停ACLs用值區。

注意

您無法授予存放在目錄儲存貯體中的物件存取權。您只能授予目錄儲存貯體的存取權。S3 Express One Zone 的授權模式與 Amazon S3 的授權模式不同。如需詳細資訊，請參閱CreateSession 授權。

身份驗證和授權

S3 Express One Zone 的身份驗證和授權機制會有所不同，具體取決於您是向區域端點API操作提出請求還是區域端點API操作。區域API操作是對象級（數據平面）操作。區域API作業是儲存貯體層級 (控制平面) 作業。

使用 S3 Express One Zone，您可以透過新的工作階段型機制來驗證和授權對區域端點API操作的請求，該機制經過最佳化以提供最低延遲。使用以工作階段為基礎的驗證， AWS SDKs使用此CreateSessionAPI作業來要求提供目錄儲存貯體低延遲存取的臨時登入資料。這些臨時憑證的範圍會設為特定目錄儲存貯體，並於 5 分鐘後過期。您可以使用這些臨時登入資料來簽署區域 (物件層級) API 呼叫。如需詳細資訊，請參閱CreateSession 授權。

使用 S3 Express One Zone 憑證簽署請求

您可以使用 S3 Express 單一區域登入資料簽署區域端點 (物件層級) API 請求 AWS 簽名版本 4，s3express作為服務名稱。當您簽署請求時，請使用從 CreateSession 傳回的秘密金鑰，同時提供具有 x-amzn-s3session-token header 的工作階段權杖。如需詳細資訊，請參閱 CreateSession.

支援的 AWS SDKs適用於 S3 Express 單區域類別管理登入資料並代表您簽署。我們建議您使用 AWS SDKs讓 S3 Express 單一區域為您重新整理登入資料並簽署請求。

使用IAM認證簽署要求

所有區域 (儲存貯體層級) API 呼叫都必須經過驗證和簽署 AWS Identity and Access Management (IAM) 認證而非臨時工作階段認證。IAM認證包含IAM身分的存取金鑰 ID 和秘密存取金鑰。所有CopyObject和HeadBucket請求也必須通過使用IAM憑據進行身份驗證和簽名。

為了讓區域 (物件層級) 操作呼叫達到最低延遲，建議您使用透過呼叫 CreateSession 取得的 S3 Express One Zone 憑證來簽署請求，但不包括 CopyObject 和 HeadBucket 請求。

使用 AWS CloudTrail

AWS CloudTrail 提供使用者、角色或使用者所採取之動作的記錄 AWS 服務 在 Amazon S3。您可以使用收集的信息 CloudTrail 來確定以下內容：

• 對 Amazon S3 提出的請求

• 提出請求的 IP 地址

• 提出要求的人員

• 提出請求的時間

• 有關請求的其他詳細資訊

當您設定 AWS 帳戶，預設會啟用 CloudTrail 管理事件。下列區域端點API作業 (儲存貯體層級或控制平面API作業) 會記錄到。 CloudTrail

• CreateBucket

• DeleteBucket

• DeleteBucketPolicy

• PutBucketPolicy

• GetBucketPolicy

• ListDirectoryBuckets

• ListMultipartUploads

• PutBucketEncryption

• GetBucketEncryption

• DeleteBucketEncryption

注意

ListMultipartUploads是區域端點API作業。但是，它會記錄 CloudTrail 為管理事件。如需詳細資訊，請參閱 ListMultipartUploads在 Amazon 簡單存儲服務API參考中。

依預設， CloudTrail 追蹤不會記錄資料事件，但您可以設定追蹤記錄您指定之目錄儲存貯體的資料事件，或記錄您所有目錄值區的資料事件 AWS 帳戶。下列區域端點API作業 (物件層級或資料平面API作業) 會記錄到。 CloudTrail

• AbortMultipartUpload

• CompleteMultipartUpload

• CreateSession

• CopyObject

• CreateMultipartUpload

• DeleteObject

• DeleteObjects

• GetObject

• GetObjectAttributes

• HeadBucket

• HeadObject

• ListObjectsV2

• ListParts

• PutObject

• UploadPart

• UploadPartCopy

有關使用的更多信息 AWS CloudTrail 使用 S3 快速單一區域，請參閱使用記錄 AWS CloudTrail 適用於 S3 快遞一個區域。

使用實作監控 AWS 監控工具

監控是維護 Amazon S3 和您的系統可靠性、安全性、可用性和效能的重要組成部分 AWS 解決方案。 AWS 提供多種工具和服務，協助您監控 Amazon S3 和您的其他 AWS 服務。 例如，您可以監控 Amazon S3 的 Amazon CloudWatch 指標，尤其是BucketSizeBytes和NumberOfObjects儲存指標。

存放在 S3 Express One Zone 儲存類別中的物件不會反映在 Amazon S3 的 BucketSizeBytes 和 NumberOfObjects 儲存指標中。不過，S3 Express One Zone 可支援 BucketSizeBytes 和 NumberOfObjects 儲存指標。若要查看您選擇的指標，您可以指定 StorageType 維度來區分 Amazon S3 儲存類別和 S3 Express One Zone 儲存類別。如需詳細資訊，請參閱使用 Amazon 監控指標 CloudWatch。

如需詳細資訊，請參閱 使用 Amazon 監控指標 CloudWatch 和 監控 Amazon S3。