View a markdown version of this page

Anhang B: Auswirkungen von Kontrollen für vorsignierte URLs AWS-Services - AWS Präskriptive Leitlinien
Leitplanke für S3: SignatureAgeGuardrail für S3:AuthType, wenn keine Netzwerkeinschränkungen verwendet werden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anhang B: Auswirkungen von Kontrollen für vorsignierte URLs AWS-Services

In diesem Anhang werden AWS-Services die Interaktionen zwischen den zuvor in Anhang A beschriebenen Funktionen URLs und den zuvor in diesem Handbuch beschriebenen Steuerelementen beschrieben beschrieben.

Leitplanke für S3: SignatureAge

Die Amazon S3 S3-Konsole wird durch den maximalen Ablauf von 5 Minuten, der durch den s3:signatureAge Bedingungsschlüssel festgelegt wird, nicht gestört. Die Amazon S3 S3-Konsole generiert vorsignierte Daten URLs , wenn Sie auf die Download-Schaltfläche klicken, und wendet eine eigene Ablaufzeit von 5 Minuten an. Eine maximale Dauer von weniger als 2 Minuten kann aufgrund von Uhrsynchronisation und Latenzen zu zufälligen Ausfällen führen.

Amazon S3 Object Lambda verwendet eine Ablaufzeit von 61 Sekunden, sodass das Festlegen von Bedingungen auf einen s3:signatureAge Wert von 61 Sekunden oder mehr keine Unterbrechung verursacht. Kürzere Zeiträume sind möglicherweise weniger zuverlässig und können zu zeitweiligen Ausfällen führen.

Amazon S3 Cross-Region wird CopyObjectnicht durch einen maximalen Ablauf von 5 Minuten unterbrochen. Kürzere Zeiträume können jedoch aufgrund von Uhrsynchronisierung und Latenzen zu zufälligen Ausfällen führen.

In AWS Lambda, GetFunctionstellt eine URL zu Objekten außerhalb des Kundenkontos bereit, sodass sich Kundenrichtlinien nicht auf die generierten Objekte auswirken. URLs

Amazon Redshift Spectrum wurde s3:signatureAge unter einer Bedingung von 16 Minuten getestet. Kürzere Zeiträume können jedoch zu Störungen führen.

Guardrail für S3:AuthType, wenn keine Netzwerkeinschränkungen verwendet werden

Die Amazon S3 S3-Konsole ist normalerweise von der s3:authType Leitplanke betroffen. Die Konsole leitet basierend auf der lokalen Netzwerkkonfiguration zu Amazon S3 weiter. Wenn das lokale Netzwerk auf eine Weise zu Amazon S3 weiterleitet, die die Netzwerkeinschränkung zulässt, würde die Amazon S3 S3-Konsole trotzdem funktionieren. Wenn es jedoch auf eine Weise, die nicht zulässig ist, über einen Proxy oder das öffentliche Internet geleitet wird, wird die Nutzung blockiert. Das Blockieren der Nutzung ist jedoch wahrscheinlich die Absicht dieser Richtlinie.

Amazon S3 Object Lambda ist betroffen, wenn die Lambda-Funktion nicht mit einer geeigneten VPC verbunden ist. In dieser Konfiguration muss die VPC über ein NAT-Gateway verfügen, nicht um auf den S3-Bucket zuzugreifen, sondern um ihn aufzurufen WriteGetObjectResponse.

Amazon S3 Cross-Region CopyObjectist gestört, wenn diese Leitplanke auf eine Bucket-Richtlinie angewendet wird, ohne dass die empfohlene Ausnahme für wann wahr ist. aws:viaAWSService

Amazon Redshift Spectrum ist von der s3:authType Leitplanke betroffen, sofern nicht erweitertes VPC-Routing verwendet wird. Derzeit unterstützt Redshift Spectrum erweitertes VPC-Routing nur mit serverlosen Clustern, nicht mit bereitgestellten Clustern.