Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Appendice B: Come influiscono i controlli predefiniti URLs Servizi AWS
<a name="appendix-b"></a>

Questa appendice descrive le interazioni tra i controlli Servizi AWS che utilizzano presigned URLs, come descritto nell'[Appendice](appendix-a.md) A, e i controlli descritti in precedenza in questa guida.

## Guardrail per s3:SignatureAge
<a name="app-b-s3-signature-age"></a>

La console Amazon S3 non viene interrotta dalla scadenza massima di 5 minuti impostata dalla `s3:signatureAge` chiave di condizione. La console Amazon S3 genera dati predefiniti URLs quando scegli il pulsante **Download** e applica la propria scadenza di 5 minuti. Una durata massima inferiore a 2 minuti potrebbe creare errori casuali in base alla sincronizzazione dell'orologio e alle latenze.

Amazon S3 Object Lambda utilizza un tempo di scadenza di 61 secondi, quindi l'impostazione di condizioni su un `s3:signatureAge` valore di 61 secondi o più non causerà alcuna interruzione. Le durate più brevi potrebbero essere meno affidabili e causare guasti intermittenti.

Amazon S3 Cross-region **CopyObject**non è disturbato da una scadenza massima di 5 minuti. Tuttavia, durate più brevi potrebbero creare errori casuali in base alla sincronizzazione e alle latenze dell'orologio.

In AWS Lambda, **GetFunction**fornisce un URL agli oggetti esterni all'account del cliente, in modo che le politiche del cliente non influiscano su quanto generato. URLs

Amazon Redshift Spectrum è stato testato con `s3:signatureAge` una condizione di 16 minuti. Tuttavia, durate più brevi potrebbero causare interruzioni.

## Guardrail per S3:authType quando non si utilizzano restrizioni di rete
<a name="app-b-s3-auth-type"></a>

La console Amazon S3 è generalmente interessata dal guardrail. `s3:authType` La console esegue il routing verso Amazon S3 in base alla configurazione della rete locale. Se la rete locale viene instradata verso Amazon S3 in un modo consentito dalla restrizione di rete, la console Amazon S3 continuerebbe a funzionare. Tuttavia, se viene instradata tramite un proxy o la rete Internet pubblica in un modo non consentito, l'utilizzo verrebbe bloccato. Tuttavia, il blocco dell'utilizzo è probabilmente l'intento di questa politica.

Amazon S3 Object Lambda è interessato se la funzione Lambda non è connessa a un VPC appropriato. In questa configurazione, il VPC deve disporre di un gateway NAT, non per accedere al bucket S3, ma per chiamare. **WriteGetObjectResponse**

**Amazon S3 Cross-region **CopyObject**viene interrotto se questo guardrail viene applicato a una bucket policy senza l'eccezione consigliata per when is true. `aws:viaAWSService`**

Amazon Redshift Spectrum è interessato dal guardrail a meno `s3:authType` che non venga utilizzato un routing VPC avanzato. Attualmente, [Redshift Spectrum supporta il routing VPC avanzato solo con cluster serverless, non con cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/spectrum-enhanced-vpc.html) con provisioning.