View a markdown version of this page

Appendice B: Come influiscono i controlli predefiniti URLs Servizi AWS - AWS Guida prescrittiva
Guardrail per s3:SignatureAgeGuardrail per S3:authType quando non si utilizzano restrizioni di rete

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Appendice B: Come influiscono i controlli predefiniti URLs Servizi AWS

Questa appendice descrive le interazioni tra i controlli Servizi AWS che utilizzano presigned URLs, come descritto nell'Appendice A, e i controlli descritti in precedenza in questa guida.

Guardrail per s3:SignatureAge

La console Amazon S3 non viene interrotta dalla scadenza massima di 5 minuti impostata dalla s3:signatureAge chiave di condizione. La console Amazon S3 genera dati predefiniti URLs quando scegli il pulsante Download e applica la propria scadenza di 5 minuti. Una durata massima inferiore a 2 minuti potrebbe creare errori casuali in base alla sincronizzazione dell'orologio e alle latenze.

Amazon S3 Object Lambda utilizza un tempo di scadenza di 61 secondi, quindi l'impostazione di condizioni su un s3:signatureAge valore di 61 secondi o più non causerà alcuna interruzione. Le durate più brevi potrebbero essere meno affidabili e causare guasti intermittenti.

Amazon S3 Cross-region CopyObjectnon è disturbato da una scadenza massima di 5 minuti. Tuttavia, durate più brevi potrebbero creare errori casuali in base alla sincronizzazione e alle latenze dell'orologio.

In AWS Lambda, GetFunctionfornisce un URL agli oggetti esterni all'account del cliente, in modo che le politiche del cliente non influiscano su quanto generato. URLs

Amazon Redshift Spectrum è stato testato con s3:signatureAge una condizione di 16 minuti. Tuttavia, durate più brevi potrebbero causare interruzioni.

Guardrail per S3:authType quando non si utilizzano restrizioni di rete

La console Amazon S3 è generalmente interessata dal guardrail. s3:authType La console esegue il routing verso Amazon S3 in base alla configurazione della rete locale. Se la rete locale viene instradata verso Amazon S3 in un modo consentito dalla restrizione di rete, la console Amazon S3 continuerebbe a funzionare. Tuttavia, se viene instradata tramite un proxy o la rete Internet pubblica in un modo non consentito, l'utilizzo verrebbe bloccato. Tuttavia, il blocco dell'utilizzo è probabilmente l'intento di questa politica.

Amazon S3 Object Lambda è interessato se la funzione Lambda non è connessa a un VPC appropriato. In questa configurazione, il VPC deve disporre di un gateway NAT, non per accedere al bucket S3, ma per chiamare. WriteGetObjectResponse

Amazon S3 Cross-region CopyObjectviene interrotto se questo guardrail viene applicato a una bucket policy senza l'eccezione consigliata per when is true. aws:viaAWSService

Amazon Redshift Spectrum è interessato dal guardrail a meno s3:authType che non venga utilizzato un routing VPC avanzato. Attualmente, Redshift Spectrum supporta il routing VPC avanzato solo con cluster serverless, non con cluster con provisioning.