View a markdown version of this page

Lampiran B: Bagaimana kontrol untuk pengaruh yang telah ditentukan sebelumnya URLs Layanan AWS - AWS Panduan Preskriptif
Pagar pembatas untuk S3: SignatureAgeGuardrail untuk S3:authType saat tidak menggunakan batasan jaringan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Lampiran B: Bagaimana kontrol untuk pengaruh yang telah ditentukan sebelumnya URLs Layanan AWS

Lampiran ini menjelaskan interaksi antara Layanan AWS yang menggunakan presigned URLs, seperti yang dijelaskan dalam Lampiran A, dan kontrol yang dijelaskan sebelumnya dalam panduan ini.

Pagar pembatas untuk S3: SignatureAge

Konsol Amazon S3 tidak terganggu oleh kedaluwarsa maksimum 5 menit yang ditetapkan oleh tombol kondisi. s3:signatureAge Konsol Amazon S3 menghasilkan presigned URLs ketika Anda memilih tombol Unduh dan menerapkan waktu kedaluwarsa 5 menitnya sendiri. Durasi maksimum yang lebih pendek dari 2 menit dapat membuat kegagalan acak berdasarkan sinkronisasi jam dan latensi.

Amazon S3 Object Lambda menggunakan waktu kedaluwarsa 61 detik, jadi pengaturan kondisi pada s3:signatureAge nilai 61 detik atau lebih tidak akan menyebabkan gangguan apa pun. Durasi yang lebih pendek mungkin kurang dapat diandalkan dan dapat menyebabkan kegagalan intermiten.

Amazon S3 Cross-region CopyObjecttidak terganggu oleh kedaluwarsa maksimum 5 menit. Namun, durasi yang lebih pendek dapat membuat kegagalan acak berdasarkan sinkronisasi jam dan latensi.

Di AWS Lambda, GetFunctionberikan URL ke objek di luar akun pelanggan, sehingga kebijakan pelanggan tidak memengaruhi yang dihasilkan URLs.

Amazon Redshift Spectrum telah diuji s3:signatureAge dengan kondisi 16 menit. Namun, durasi yang lebih pendek dapat menyebabkan gangguan.

Guardrail untuk S3:authType saat tidak menggunakan batasan jaringan

Konsol Amazon S3 biasanya dipengaruhi oleh pagar s3:authType pembatas. Konsol merutekan ke Amazon S3 berdasarkan konfigurasi jaringan lokal. Jika jaringan lokal merutekan ke Amazon S3 dengan cara yang memungkinkan pembatasan jaringan, konsol Amazon S3 akan tetap berfungsi. Namun, jika dialihkan melalui proxy atau internet publik dengan cara yang tidak diizinkan, penggunaan akan diblokir. Namun, memblokir penggunaan mungkin merupakan maksud dari kebijakan ini.

Lambda Objek Amazon S3 terpengaruh jika fungsi Lambda tidak terhubung ke VPC yang sesuai. Dalam konfigurasi ini, VPC harus memiliki gateway NAT, bukan untuk mengakses bucket S3, tetapi untuk menelepon. WriteGetObjectResponse

Amazon S3 Lintas wilayah CopyObjectterganggu jika pagar pembatas ini diterapkan pada kebijakan bucket tanpa pengecualian yang disarankan untuk kapan benar. aws:viaAWSService

Amazon Redshift Spectrum dipengaruhi oleh pagar pembatas kecuali s3:authType perutean VPC yang ditingkatkan digunakan. Saat ini, Redshift Spectrum mendukung peningkatan perutean VPC hanya dengan cluster tanpa server, bukan dengan cluster yang disediakan.