Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Praktik terbaik keamanan untuk bucket direktori
Ada sejumlah fitur keamanan yang perlu dipertimbangkan saat bekerja dengan bucket direktori. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai rekomendasi yang bermanfaat, bukan sebagai resep.
## Pengaturan Blokir Akses Publik dan Kepemilikan Objek Default
Bucket direktori mendukung Blokir Akses Publik S3 dan Kepemilikan Objek S3. Fitur S3 ini digunakan untuk mengaudit dan mengelola akses ke bucket dan objek Anda.
Secara default, semua pengaturan Blok Akses Publik untuk bucket direktori diaktifkan. Selain itu, Kepemilikan Objek disetel ke pemilik bucket yang diberlakukan, yang berarti bahwa daftar kontrol akses (ACLs) dinonaktifkan. Pengaturan ini tidak dapat dimodifikasi. Untuk informasi selengkapnya tentang fitur ini, lihat [Melakukan blok akses publik ke penyimpanan Amazon S3 Anda](access-control-block-public-access.md) dan [Mengontrol kepemilikan objek dan menonaktifkan bucket ACLs Anda](about-object-ownership.md).
**catatan**
Anda tidak dapat memberikan akses ke objek yang disimpan dalam bucket direktori. Anda hanya dapat memberikan akses ke bucket direktori Anda. Model otorisasi untuk S3 Express One Zone berbeda dari model otorisasi untuk Amazon S3. Untuk informasi selengkapnya, lihat [Mengotorisasi operasi API titik akhir Zonal dengan `CreateSession`](s3-express-create-session.md).
## Autentikasi dan otorisasi
Mekanisme otentikasi dan otorisasi untuk bucket direktori berbeda, tergantung apakah Anda membuat permintaan ke operasi API titik akhir Zonal atau operasi API titik akhir Regional. Operasi API Zona adalah operasi tingkat objek (bidang data). Operasi API regional adalah operasi tingkat bucket (bidang kontrol).
Anda mengautentikasi dan mengotorisasi permintaan ke operasi API titik akhir Zonal melalui mekanisme berbasis sesi baru `` yang dioptimalkan untuk memberikan latensi terendah. Dengan autentikasi berbasis sesi, AWS SDKs gunakan operasi `CreateSession` API `` untuk meminta kredensil sementara yang menyediakan akses latensi rendah ke bucket direktori Anda. Kredensial sementara ini dicakup ke bucket direktori tertentu dan kedaluwarsa setelah 5 menit. Anda dapat menggunakan kredensial sementara ini untuk menandatangani panggilan API Zona (tingkat objek). Untuk informasi selengkapnya, lihat [Mengotorisasi operasi API titik akhir Zonal dengan `CreateSession`](s3-express-create-session.md).
**Menandatangani permintaan dengan kredensil untuk manajemen bucket direktori**
Anda menggunakan kredensi Anda untuk menandatangani permintaan API titik akhir Zonal (level objek) dengan AWS Signature Version 4, dengan nama layanan`s3express`. Saat Anda menandatangani permintaan, gunakan kunci rahasia yang dikembalikan dari `CreateSession` dan berikan juga token sesi dengan `x-amzn-s3session-token header`. Untuk informasi selengkapnya, lihat [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html).
Kredensi AWS SDKs kelola yang [didukung](s3-express-SDKs.md#s3-express-getting-started-accessing-sdks) dan penandatanganan atas nama Anda. Sebaiknya gunakan AWS SDKs untuk menyegarkan kredensil dan menandatangani permintaan untuk Anda.
**Menandatangani permintaan dengan kredensial IAM**
Semua panggilan API Regional (tingkat bucket) harus diautentikasi dan ditandatangani oleh kredensial AWS Identity and Access Management (IAM), bukan kredensial sesi sementara. Kredensial IAM terdiri atas ID kunci akses dan kunci akses rahasia untuk identitas IAM. Semua permintaan `CopyObject` dan `HeadBucket` juga harus diautentikasi dan ditandatangani menggunakan kredensial IAM.
Untuk mencapai latensi terendah untuk panggilan operasi Zonal (tingkat objek) Anda, sebaiknya gunakan kredensil yang diperoleh dari panggilan `CreateSession` untuk menandatangani permintaan Anda, kecuali untuk permintaan ke dan. `CopyObject` `HeadBucket`
## Gunakan AWS CloudTrail
AWS CloudTrail menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau Layanan AWS di Amazon S3. Anda dapat menggunakan informasi yang dikumpulkan oleh CloudTrail untuk menentukan hal-hal berikut:
+ Permintaan yang diajukan ke Amazon S3
+ Alamat IP dari mana permintaan itu dibuat
+ Siapa yang membuat permintaan
+ Kapan permintaan dibuat
+ Detail tambahan tentang permintaan
Saat Anda mengatur Akun AWS, acara CloudTrail manajemen diaktifkan secara default. Operasi API titik akhir Regional berikut (tingkat ember, atau bidang kontrol, operasi API) dicatat. CloudTrail
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListDirectoryBuckets.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListDirectoryBuckets.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html)
**catatan**
`ListMultipartUploads`adalah operasi API titik akhir Zonal. Namun, itu dicatat CloudTrail sebagai acara manajemen. Untuk informasi selengkapnya, lihat [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html) dalam *Referensi API Amazon Simple Storage Service*.
Secara default, CloudTrail jejak tidak mencatat peristiwa data, tetapi Anda dapat mengonfigurasi jejak untuk mencatat peristiwa data untuk bucket direktori yang Anda tentukan, atau untuk mencatat peristiwa data untuk semua bucket direktori di akun Anda. AWS Operasi API titik akhir Zonal berikut (tingkat objek, atau bidang data, operasi API) dicatat. CloudTrail
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)
Untuk informasi selengkapnya tentang penggunaan AWS CloudTrail dengan bucket direktori, lihat [Logging with AWS CloudTrail for directory bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-one-zone-cloudtrail-logging.html).
### Melaksanakan pemantauan dengan menggunakan alat AWS pemantauan
Pemantauan adalah bagian penting dalam menjaga keandalan, keamanan, ketersediaan, dan kinerja Amazon S3 dan solusi Anda AWS . AWS menyediakan beberapa alat dan layanan untuk membantu Anda memantau Amazon S3 dan yang lain. Layanan AWS Misalnya, Anda dapat memantau CloudWatch metrik Amazon untuk Amazon S3, khususnya metrik penyimpanan `NumberOfObjects` dan `BucketSizeBytes` penyimpanan.
Objek yang disimpan dalam bucket direktori tidak akan tercermin dalam metrik `NumberOfObjects` penyimpanan `BucketSizeBytes` dan untuk Amazon S3. Namun, metrik `BucketSizeBytes` dan `NumberOfObjects` penyimpanan didukung untuk bucket direktori. Untuk melihat metrik pilihan Anda, Anda dapat membedakan antara kelas penyimpanan Amazon S3 dengan menentukan dimensi. `StorageType` Untuk informasi selengkapnya, lihat [Memantau metrik dengan Amazon CloudWatch](cloudwatch-monitoring.md).
Untuk informasi selengkapnya, lihat [Memantau metrik dengan Amazon CloudWatch](cloudwatch-monitoring.md) dan [Pencatatan log dan pemantauan di Amazon S3](monitoring-overview.md).