View a markdown version of this page

Annexe B : Comment les contrôles relatifs à la présignature URLs s'appliquent Services AWS - AWS Conseils prescriptifs
Rambarde pour S3 : SignatureAgeGarde-corps pour S3:AuthType lorsque les restrictions du réseau ne sont pas utilisées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Annexe B : Comment les contrôles relatifs à la présignature URLs s'appliquent Services AWS

Cette annexe décrit les interactions entre les commandes Services AWS présignées par l' URLsutilisateur, comme décrit dans l'annexe A, et les commandes décrites plus haut dans ce guide.

Rambarde pour S3 : SignatureAge

La console Amazon S3 n'est pas perturbée par l'expiration maximale de 5 minutes définie par la clé de s3:signatureAge condition. La console Amazon S3 génère une signature présignée URLs lorsque vous cliquez sur le bouton Télécharger et applique son propre délai d'expiration de 5 minutes. Une durée maximale inférieure à 2 minutes peut créer des défaillances aléatoires en fonction de la synchronisation de l'horloge et des latences.

Amazon S3 Object Lambda utilise un délai d'expiration de 61 secondes. Par conséquent, le fait de définir des conditions sur une s3:signatureAge valeur de 61 secondes ou plus ne provoquera aucune interruption. Des durées plus courtes peuvent être moins fiables et provoquer des pannes intermittentes.

Amazon S3 Cross-region CopyObjectn'est pas perturbé par une expiration maximale de 5 minutes. Cependant, des durées plus courtes peuvent créer des défaillances aléatoires en fonction de la synchronisation des horloges et des latences.

In AWS Lambda, GetFunctionfournit une URL vers des objets extérieurs au compte client, de sorte que les politiques du client n'affectent pas les objets générés URLs.

Amazon Redshift Spectrum a été testé avec s3:signatureAge une condition de 16 minutes. Cependant, des durées plus courtes peuvent entraîner des perturbations.

Garde-corps pour S3:AuthType lorsque les restrictions du réseau ne sont pas utilisées

La console Amazon S3 est généralement affectée par le s3:authType garde-corps. La console est acheminée vers Amazon S3 en fonction de la configuration du réseau local. Si le réseau local est acheminé vers Amazon S3 conformément aux restrictions du réseau, la console Amazon S3 fonctionnera toujours. Toutefois, s'il est acheminé via un proxy ou via Internet public d'une manière non autorisée, son utilisation sera bloquée. Cependant, le blocage de l'utilisation est probablement l'objectif de cette politique.

Amazon S3 Object Lambda est affecté si la fonction Lambda n'est pas connectée à un VPC approprié. Dans cette configuration, le VPC doit disposer d'une passerelle NAT, non pas pour accéder au compartiment S3, mais pour appeler. WriteGetObjectResponse

Amazon S3 Interregion CopyObjectest perturbé si ce garde-fou est appliqué à une politique de compartiment sans l'exception recommandée concernant le moment où elle aws:viaAWSService est vraie.

Amazon Redshift Spectrum est affecté par s3:authType le garde-corps sauf si un routage VPC amélioré est utilisé. À l'heure actuelle, Redshift Spectrum prend en charge le routage VPC amélioré uniquement avec les clusters sans serveur, et non avec les clusters provisionnés.