建立護欄並監控預先簽署的 URL

瑞安貝克, Amazon Web Services (AWS)

2024 年 7 月 (文件歷史記錄)

安全性是所有公司的關鍵問題，也是 AWS Well-Architected Framework 的關鍵支柱。身為安全工程師，您需要實作符合組織控制需求的管理護欄。在 AWS Well-Architected 的架構中，護欄定義限制活動的界限。

本指南提供使用預先簽署 URL 的背景資訊和最佳實務，這些 URL 可與 Amazon Simple Storage Service (Amazon S3) 物件搭配使用。預先簽署的 URL 可讓擁有有效認證存取權的使用者或應用程式產生預先簽署的要求，並在定義的到期時間之前接受這些要求。預先簽署 URL 的常見使用案例是透過共用這些要求來擴充物件或資源的存取權。共用的預先簽署要求是由具有執行特定要求之權限的系統或使用者所產生，然後可傳送至其他系統或使用者，以擴充執行相同要求的能力。

在本指南中，您將了解到：

• 預先簽署網址的概念

• 預先簽署網址的使用案例

• 推薦和可選護欄

• 監控選項

• 如何 AWS 服務 使用預先簽署網址的範例

目標對象

本指南面向負責在 AWS 雲端中實作安全控制的架構師和安全工程師。

目標

身為安全性工程師，您想要瞭解解決方案建置工具如何實作安全性，以及使用者擁有的存取類型。本指南涵蓋一種存取類型、預先簽署的 URL，這些 URL 通常與 Amazon S3 搭配使用。預先簽署的 URL 為建置人員提供有效橋接驗證機制的選項。

在 Amazon S3 中，預先簽署的 URL 代表一個唯一類別的請求。安全工程師可以監控和管理這些請求，以確保它們僅在適當和必要的情況下使用。本指南的目的是幫助安全工程師提供這種類型的高級監督。

閱讀本指南後，您應該了解什麼是預先簽名的 URL，通常使用的時間以及其使用動機。

必要條件

如果貴公司尚未按照在 AWS 實作安全控制指南中所述定義安全政策、控制目標或標準，建議您先完成這些管理任務，然後再繼續執行本指南。

在開始之前，您還應該熟悉控制和監視的建議和可選的最佳做法。如需詳細資訊，請參閱：

• 服務控制政策 (AWS Organizations 文件)

• Amazon S3 的儲存貯體政策 (Amazon S3 文件)

• 使用伺服器存取日誌記錄請求 (Amazon S3 文件)

• 使用記錄 Amazon S3 API 呼叫 AWS CloudTrail (Amazon S3 文件)