View a markdown version of this page

Grundlegende bewährte Methoden - AWS Präskriptive Leitlinien
Wenden Sie das Prinzip des geringsten Privilegs anImplementieren Sie einen Datenperimeter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegende bewährte Methoden

Allgemeine bewährte Methoden, die wirksame Kontrollen für andere AWS API-Anfragen darstellen, gelten auch für vorsignierte Anfragen. In diesem Abschnitt werden zwei der relevantesten Praktiken behandelt: geringste Zugriffsrechte und Datenperimeter. Diese Praktiken bieten eine Tiefe von Kontrollen, über die andere Praktiken hinausgehen.

Wenden Sie das Prinzip des geringsten Privilegs an

Der erste Schritt zur Beschränkung der Verwendung von vorab signierten Anfragen ist die allgemeine Beschränkung des Zugriffs auf Amazon S3. Eine vorsignierte URL kann keinen Zugriff auf Ressourcen gewähren, die nicht dem Prinzipal gewährt wurden, der die Signatur für die vorsignierte URL generiert hat. Sie kann auch keinen Zugriff auf eine Ressource auf eine Weise ermöglichen, die diesem Prinzipal nicht gewährt wurde. Daher ist die Anwendung bewährter Verfahren, um diesen Auftraggebern die geringsten Rechte einzuräumen, eine wirksame Schutzmaßnahme.

Das Erstellen einer vorsignierten URL ist ein algorithmischer Vorgang, der auf einem veröffentlichten Standard (Signature Version 4) für die Signaturgenerierung basiert. Daher ist es nicht möglich, der Generierung von vorsignierten URLs Grenzen zu setzen. Um relevant zu sein, muss eine vorsignierte URL jedoch gültig sein und Zugriff auf Ressourcen bieten. Daher ist die Gültigkeit einer vorsignierten URL auch ein wirksames Schutzschild.

Weitere Informationen zu den geringsten Rechten finden Sie unter Gewähren des Zugriffs mit den geringsten Rechten im AWS Well-Architected Framework, Säule Sicherheit.

Implementieren Sie einen Datenperimeter

Eine Erweiterung der geringsten Rechte besteht darin, einen Datenperimeter aufrechtzuerhalten, der den Anforderungen Ihres Unternehmens entspricht. Vordefinierte URLs sind mit Datenperimetern kompatibel. Wie bei anderen Anfragen wird die Gültigkeit einer vorsignierten URL-Anforderung zum Zeitpunkt der Anfrage bewertet. Wenn sich die Eigenschaften des Netzwerks, der Ressource, der Rollensitzung und des Prinzipals ändern, werden sie zu dem Zeitpunkt und anhand der Methode bewertet, mit der eine Anfrage empfangen wird.

Nehmen wir zum Beispiel an, dass ein Service, der in einem Amazon Elastic Kubernetes Service (Amazon EKS) -Container ausgeführt wird, eine Anfrage signiert. Die Anfrage wird später vom PC eines Benutzers gesendet, der mit dem Internet verbunden ist. In diesem Fall bewertet die aws: SourceIp -Bedingung die sichtbare öffentliche IP-Adresse der Anfrage vom persönlichen System des Benutzers, nicht die IP-Adresse des Dienstes im Amazon EKS-Container.

Wenn sich die Tags des Prinzipals oder der Ressource ändern, bevor die Anfrage gesendet wird, gelten entsprechend den ResourceTag/tag-key Bedingungen aws: PrincipalTag/tag-key und aws: die aktualisierten Werte (nicht die ursprünglichen) für die Anfrage.