使用 S3 Storage Lens 稽核物件擁有權設定 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 S3 Storage Lens 稽核物件擁有權設定

Amazon S3 物件擁有權是一項 Amazon S3 儲存貯體層級設定,您可以用來停用存取控制清單 (ACL),以及控制儲存貯體中物件的擁有權。如果您將物件擁有權設為儲存貯體擁有者強制執行,則可以停用存取控制清單 (ACL),並取得儲存貯體中每個物件的擁有權。此方法可簡化存放在 Amazon S3 中之資料的存取管理。

預設情況下,當另一個 AWS 帳戶 會將物件上傳到您的 S3 儲存貯體時,該帳戶 (物件寫入者) 擁有物件、擁有其存取權,並且可以透過 ACL 授權其他使用者存取該物件。您可以使用「物件所有權」變更此預設行為。

Amazon S3 中的大多數新式使用案例不再需要使用 ACL。因此,建議您停用 ACL,除非在異常情況下必須個別控制每個物件的存取。透過將物件擁有權設為儲存貯體擁有者強制執行,您可以停用 ACL,並依賴政策進行存取控制。如需詳細資訊,請參閱「控制物件的擁有權並停用儲存貯體的 ACL」。

使用 S3 Storage Lens 存取管理指標,您可以識別未停用 ACL 的儲存貯體。在識別這些儲存貯體之後,您可以將 ACL 許可遷移至政策,並停用這些儲存貯體的 ACL。

步驟 1:識別物件擁有權設定的一般趨勢

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。

  2. 在左導覽窗格中,選擇 Storage LensDashboards (儀表板)。

  3. Dashboards (儀表板) 清單中,選擇您要檢視的儀表板名稱。

  4. Snapshot for date (日期的快照) 區段中,於 Metrics categories (指標類別) 下,選擇 Access management (存取管理)。

    Snapshot for date (日期的快照) 區段即會更新,以顯示 % Object Ownership bucket owner enforced (% 物件擁有權儲存貯體擁有者強制執行) 指標。您可以查看帳戶或組織中針對物件擁有權使用儲存貯體擁有者強制執行設定,以停用 ACL 之儲存貯體的整體百分比。

步驟 2:識別物件擁有權設定的儲存貯體層級趨勢

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。

  2. 在左導覽窗格中,選擇 Storage LensDashboards (儀表板)。

  3. Dashboards (儀表板) 清單中,選擇您要檢視的儀表板名稱。

  4. 若要檢視更詳細的儲存貯體層級指標,請選擇 Bucket (儲存貯體) 索引標籤。

  5. Distribution by buckets for date (依日期的儲存貯體進行分佈) 區段中,選擇 % Object Ownership bucket owner enforced (% 物件擁有權儲存貯體擁有者強制執行) 指標。

    此圖表會更新以顯示 % Object Ownership bucket owner enforced (% 物件擁有權儲存貯體擁有者強制執行) 的每個儲存貯體明細。您可以查看哪些儲存貯體使用儲存貯體擁有者強制執行設定,以停用 ACL。

  6. 若要在內容中檢視儲存貯體擁有者強制執行設定,請向下捲動至 Buckets (儲存貯體) 區段。針對 Metrics categories (指標類別),選取 Access management (存取管理)。然後清除 Summary (摘要)。

    Buckets (儲存貯體) 清單會顯示所有三個物件擁有權設定的資料:儲存貯體擁有者強制執行、儲存貯體擁有者偏好,以及物件寫入器。

  7. 若要篩選 Buckets (儲存貯體) 清單,僅顯示特定物件擁有權設定的指標,請選擇偏好設定圖示 ( A screenshot that shows the preferences icon in the S3 Storage Lens dashboard. )。

  8. 清除您不想要查看的指標。

  9. (選用) 在 Page size (頁面大小) 下,選擇要在清單中顯示的儲存貯體數目。

  10. 選擇 Confirm (確認)。

步驟 3:將您的物件擁有權設定更新為儲存貯體擁有者強制執行,以停用 ACL

在識別了針對物件擁有權使用物件寫入器和儲存貯體有者偏好設定的儲存貯體之後,您可以將 ACL 許可遷移至儲存貯體政策。在完成了遷移 ACL 許可之後,您可以接著將物件擁有權設定更新為儲存貯體擁有者強制執行,以停用 ACL。如需詳細資訊,請參閱「停用 ACL 的先決條件」。