Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pertanyaan yang Sering Diajukan

Dapatkah permintaan yang telah ditetapkan sebelumnya digunakan beberapa kali? Apakah itu risiko keamanan?

Ya, tanda tangan dalam permintaan yang telah ditetapkan sebelumnya dapat digunakan lebih dari satu kali. Apakah ini risiko keamanan adalah pertanyaan kontekstual. Metode lain untuk mengakses layanan AWS memungkinkan pengulangan juga. Pengguna atau beban kerja dengan AWS kredensional dapat mengirim banyak permintaan ke Layanan AWS, dan salah satu permintaan tersebut dapat berupa duplikat.

Jika kasus penggunaan Anda memerlukan eksekusi sekali dan hanya sekali, Anda harus menerapkan mekanisme lain untuk menerapkan penggunaan tunggal. Penggunaan tunggal bukanlah fitur permintaan yang telah ditetapkan sebelumnya. Sebagai insinyur keamanan, Anda harus meninjau kasus penggunaan dan implementasi, tetapi dalam banyak kasus, beberapa penggunaan akan sesuai dengan penggunaan yang dapat diterima.

Dapatkah seseorang selain pengguna yang dituju menggunakan permintaan yang telah ditentukan sebelumnya?

Tanda tangan dalam permintaan yang telah ditentukan sebelumnya dapat dikirim oleh siapa saja yang memilikinya. Ini akan diterima hanya jika melewati bentuk validasi lain, seperti kontrol perimeter data. Jika tanda tangan telah kedaluwarsa, kredensi penandatanganan telah kedaluwarsa, atau kredensional penandatanganan tidak memiliki akses ke sumber daya yang diminta, permintaan akan ditolak.

Hal yang sama berlaku untuk metode otentikasi lainnya dengan Layanan AWS. Kredensi yang dibagikan secara tidak tepat memungkinkan akses yang tidak pantas. Praktik terbaik inti adalah berbagi kredensi dan tanda tangan hanya dengan audiens yang dituju. Jika Anda tidak dapat mempercayai audiens yang dituju untuk menjaga keamanan data pribadi dan tidak membagikannya dengan orang lain, ini akan merusak segala bentuk otentikasi.

Dapatkah pengguna yang berwenang menggunakan permintaan yang telah ditetapkan sebelumnya untuk mengekstrasi data?

Mengamankan data membutuhkan tindakan yang kuat. Mengaktifkan akses untuk tujuan yang dimaksudkan sambil mempertahankan perimeter data memerlukan pendekatan yang komprehensif. Akses dengan hak istimewa paling sedikit, kontrol perimeter data, dan hanya menggunakan kredenal akses sementara adalah praktik terbaik umum yang berlaku untuk mengamankan data. Penggunaan yang tepat dari kontrol ini juga membatasi kemampuan pengguna untuk melakukan tindakan melalui permintaan yang telah ditetapkan sebelumnya yang mereka hasilkan.

Hal ini karena akses yang disediakan oleh permintaan presigned adalah bagian dari akses yang diberikan ke kredensi yang digunakan untuk menandatangani permintaan. Dalam konteks ini, praktik terbaik yang berlaku untuk mengakses data umumnya berlaku untuk permintaan yang telah ditetapkan sebelumnya, tetapi permintaan yang telah ditetapkan sebelumnya tidak membuat akses baru ke data. 

Dalam konteks ini, pemeriksaan risiko yang terkait dengan permintaan yang telah ditetapkan sebelumnya dibatasi pada area di mana mereka ditandatangani dengan kredensional yang berbeda dari kredensi pengguna dan menyediakan akses yang bukan bagian dari prinsipal pengguna. Pemeriksaan ini harus diterapkan pada desain layanan, beban kerja, atau solusi yang menghasilkan tanda tangan atas nama pengguna, bukan kemampuan permintaan yang telah ditentukan sebelumnya itu sendiri.

Dapatkah saya menolak akses dari URL yang telah ditetapkan sebelumnya jika saya curiga telah dibagikan dengan cara yang tidak sah?

Ya. Ini memerlukan pembatalan kredenal yang ditandatangani URL. Ada beberapa cara untuk mencapai ini: