View a markdown version of this page

Praktik terbaik dasar - AWS Panduan Preskriptif
Terapkan prinsip hak istimewa paling sedikitMenerapkan perimeter data

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik dasar

Praktik terbaik umum yang merupakan kontrol efektif untuk permintaan AWS API lainnya juga berlaku untuk permintaan yang telah ditetapkan sebelumnya. Bagian ini mengulas dua praktik yang paling relevan: hak istimewa terkecil dan batas data. Praktik-praktik ini menciptakan kedalaman kontrol yang diperluas oleh praktik lain.

Terapkan prinsip hak istimewa paling sedikit

Langkah pertama dalam membatasi penggunaan permintaan yang telah ditetapkan sebelumnya adalah membatasi akses ke Amazon S3 secara umum. URL presigned tidak dapat menyediakan akses ke sumber daya yang tidak diberikan kepada prinsipal yang menghasilkan tanda tangan untuk URL yang telah ditetapkan sebelumnya. Juga tidak dapat menyediakan akses ke sumber daya dengan cara yang tidak diberikan kepada kepala sekolah itu. Dengan demikian, menerapkan praktik terbaik untuk memberikan hak istimewa paling sedikit kepada para prinsipal tersebut adalah pagar pembatas yang efektif.

Proses pembuatan URL presigned adalah operasi algoritmik yang didasarkan pada standar yang diterbitkan (Signature Version 4) untuk pembuatan tanda tangan. Oleh karena itu, tidak mungkin untuk membatasi pembuatan URL yang telah ditentukan sebelumnya. Namun, agar relevan, URL yang telah ditetapkan sebelumnya harus valid dan menyediakan akses ke sumber daya, sehingga validitas URL yang telah ditetapkan sebelumnya juga merupakan pagar pembatas yang efektif.

Untuk informasi selengkapnya tentang hak istimewa terkecil, lihat Berikan akses hak istimewa paling sedikit di pilar AWS Well-Architected Kerangka, Keamanan.

Menerapkan perimeter data

Perpanjangan hak istimewa terkecil adalah mempertahankan perimeter data yang konsisten dengan kebutuhan organisasi Anda. URL presigned kompatibel dengan perimeter data. Seperti permintaan lainnya, validitas permintaan URL yang telah ditetapkan sebelumnya dievaluasi pada waktu permintaan. Jika properti jaringan, sumber daya, sesi peran, dan prinsipal berubah, mereka dievaluasi pada saat itu dan dengan menggunakan metode dimana permintaan diterima.

Misalnya, katakanlah layanan yang berjalan di container Amazon Elastic Kubernetes Service (Amazon EKS) menandatangani permintaan. Permintaan tersebut kemudian dikirim dari sistem komputer pribadi pengguna yang terhubung ke internet. Dalam hal ini, SourceIp kondisi aws: mengevaluasi alamat IP publik yang terlihat dari permintaan dari sistem pribadi pengguna, bukan alamat IP layanan di wadah Amazon EKS.

Demikian pula, jika tag prinsipal atau sumber daya berubah sebelum permintaan dikirim, nilai yang diperbarui, bukan asli, akan berlaku untuk permintaan melalui ResourceTag/tag-key kondisi aws: PrincipalTag/tag-key dan aws:.