附錄 B：預先簽署 URL 的控制項如何影響 AWS 服務

本附錄說明使用預先簽署 URL 之間的互動，如附錄 A 所述，以及本指南稍早描述的控制項。 AWS 服務

S3 的護欄：簽名

Amazon S3 主控台不會因為s3:signatureAge條件金鑰設定的 5 分鐘到期時間上限而中斷。 選擇「下載」按鈕時，Amazon S3 主控台會產生預先簽署的 URL，並套用自己的 5 分鐘到期時間。短於 2 分鐘的最長持續時間可能會根據時鐘同步化和延遲造成隨機故障。

Amazon S3 物件 Lambda 使用的到期時間為 61 秒，因此設定s3:signatureAge值為 61 秒或更長時間的條件不會造成任何中斷。較短的持續時間可能不太可靠，並可能導致間歇性故障。

Amazon S3 跨區域的到期時間上限為 5 分鐘，CopyObject不會中斷。但是，較短的持續時間可能會根據時鐘同步化和延遲造成隨機故障。

在中 AWS Lambda，GetFunction提供客戶帳戶外部物件的 URL，因此客戶政策不會影響產生的 URL。

Amazon Redshift Spectrum 已在 16 分鐘的s3:signatureAge條件下進行了測試。但是，較短的持續時間可能會導致中斷。

不使用網路限制時的 S3:authType 護欄

Amazon S3 主控台通常會受到s3:authType護欄的影響。 主控台會根據本機網路組態路由到 Amazon S3。 如果本機網路以網路限制允許的方式路由到 Amazon S3，Amazon S3 主控台仍可運作。 但是，如果它通過代理或公共互聯網以不允許的方式進行路由，則使用將被阻止。 但是，阻止使用可能是此策略的目的。

如果 Lambda 函數未連接到適當的 VPC，則 Amazon S3 物件 Lambda 會受到影響。 在此組態中，VPC 必須具有 NAT 閘道，而不是存取 S3 儲存貯體，而是要呼叫WriteGetObjectResponse。

如果將此防護套用至儲存貯體政策，而在何時為真時沒有建議例外的情況下，Amazon S3 跨區域CopyObject會中斷。aws:viaAWSService

除非使用增強的 VPC 路由，否則 Amazon Redshift Spectrum 會受到s3:authType護欄的影響。目前，Redshift Spectrum 僅支援無伺服器叢集的增強型 VPC 路由，而不支援佈建的叢集。