翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

付録 B: 署名付き URLs のコントロールが に与える影響 AWS のサービス

この付録では、付録 A で説明 AWS のサービス されている署名付き URLs を使用する と、このガイドで前述したコントロールとのやり取りについて説明します。

s3:signatureAge のガードレール

Amazon S3 コンソールは、 s3:signatureAge条件キーで設定された最大有効期限の 5 分によって中断されることはありません。ダウンロードボタンを選択すると、Amazon S3 コンソールは署名URLs を生成し、独自の 5 分の有効期限を適用します。 Amazon S3 最大時間が 2 分未満の場合、クロックの同期とレイテンシーに基づいてランダムな障害が発生する可能性があります。

Amazon S3 Object Lambda は 61 秒の有効期限を使用するため、61 秒以上のs3:signatureAge値に条件を設定しても中断は発生しません。期間が短いほど信頼性が低くなり、断続的な障害が発生する可能性があります。

Amazon S3 クロスリージョン CopyObject は、最大有効期限の 5 分によって中断されません。ただし、期間が短いと、クロックの同期とレイテンシーに基づいてランダムな障害が発生する可能性があります。

では AWS Lambda、GetFunction は顧客アカウント外のオブジェクトへの URL を提供するため、顧客ポリシーは生成された URLs に影響を与えません。

Amazon Redshift Spectrum は 16 分のs3:signatureAge条件でテストされています。ただし、期間が短いと中断が発生する可能性があります。

ネットワーク制限を使用しない場合の s3:authType のガードレール

Amazon S3 コンソールは通常、s3:authTypeガードレールの影響を受けます。コンソールは、ローカルネットワーク設定に基づいて Amazon S3 にルーティングされます。ローカルネットワークがネットワーク制限で許可されている方法で Amazon S3 にルーティング された場合、Amazon S3 コンソールは引き続き機能します。 ただし、許可されていない方法でプロキシまたはパブリックインターネットを介してルーティングされた場合、使用はブロックされます。 ただし、使用量のブロックは、このポリシーの意図である可能性があります。 Amazon S3

Lambda 関数が適切な VPC に接続されていない場合、Amazon S3 Object Lambda に影響します。この設定では、VPC には S3 バケットにアクセスするのではなく、WriteGetObjectResponse を呼び出すための NAT ゲートウェイが必要です。

Amazon S3 クロスリージョン CopyObject は、 aws:viaAWSServiceが true の場合に推奨される例外なしで、このガードレールがバケットポリシーに適用されると中断されます。

Amazon Redshift Spectrum は、拡張 VPC s3:authType ルーティングが使用されていない限り、ガードレールの影響を受けます。現在、Redshift Spectrum は、プロビジョニングされたクラスターではなく、サーバーレスクラスターでのみ拡張 VPC ルーティングをサポートしています。