View a markdown version of this page

Apéndice B: Cómo afectan los controles prefirmados URLs Servicios de AWS - AWS Guía prescriptiva
Barandilla para S3: SignatureAgeBarandilla para S3: AuthType cuando no se utilizan restricciones de red

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Apéndice B: Cómo afectan los controles prefirmados URLs Servicios de AWS

En este apéndice se describen las interacciones entre los controles Servicios de AWS prefirmados URLs, tal como se describe en el apéndice A, y los controles descritos anteriormente en esta guía.

Barandilla para S3: SignatureAge

La consola Amazon S3 no se ve afectada por la caducidad máxima de 5 minutos establecida por la clave de s3:signatureAge condición. La consola Amazon S3 genera datos prefirmados URLs al pulsar el botón Descargar y aplica su propio tiempo de caducidad de 5 minutos. Una duración máxima inferior a 2 minutos puede provocar errores aleatorios en función de la sincronización del reloj y las latencias.

Amazon S3 Object Lambda utiliza un tiempo de caducidad de 61 segundos, por lo que establecer condiciones en un s3:signatureAge valor de 61 segundos o más no provocará ninguna interrupción. Las duraciones más cortas pueden ser menos fiables y provocar fallos intermitentes.

Amazon S3 Cross-Region CopyObjectno se ve interrumpido por una caducidad máxima de 5 minutos. Sin embargo, las duraciones más cortas pueden provocar errores aleatorios en función de la sincronización del reloj y las latencias.

En AWS Lambda, GetFunctionproporciona una URL a objetos ajenos a la cuenta del cliente, de modo que las políticas del cliente no afecten a los generados. URLs

Se probó Amazon Redshift Spectrum durante 16 minutos. s3:signatureAge Sin embargo, una duración más corta podría provocar interrupciones.

Barandilla para S3: AuthType cuando no se utilizan restricciones de red

La consola Amazon S3 suele verse afectada por la s3:authType barandilla. La consola se enruta a Amazon S3 en función de la configuración de la red local. Si la red local se enruta a Amazon S3 de la manera que lo permita la restricción de red, la consola Amazon S3 seguiría funcionando. Sin embargo, si se enruta a través de un proxy o de la Internet pública de una manera no permitida, se bloqueará su uso. Sin embargo, bloquear el uso es probablemente la intención de esta política.

El objeto Lambda de Amazon S3 se ve afectado si la función Lambda no está conectada a una VPC adecuada. En esta configuración, la VPC debe tener una puerta de enlace NAT, no para acceder al bucket de S3, sino para realizar una llamada. WriteGetObjectResponse

Amazon S3 Cross-Region CopyObjectse interrumpe si esta barrera de protección se aplica a una política de bucket sin la excepción recomendada cuando aws:viaAWSService es verdadera.

Amazon Redshift Spectrum se ve afectado por s3:authType la barandilla, a menos que se utilice el enrutamiento de VPC mejorado. Actualmente, Redshift Spectrum admite el enrutamiento de VPC mejorado solo con clústeres sin servidor, no con clústeres aprovisionados.