View a markdown version of this page

Apêndice B: Como os controles para presignados afetam URLs Serviços da AWS - AWS Orientação prescritiva
Guardrail para S3: SignatureAgeGuardrail para s3:AuthType quando não estiver usando restrições de rede

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Apêndice B: Como os controles para presignados afetam URLs Serviços da AWS

Este apêndice descreve as interações entre Serviços da AWS esse uso preassinado URLs, conforme descrito no Apêndice A, e os controles descritos anteriormente neste guia.

Guardrail para S3: SignatureAge

O console do Amazon S3 não é interrompido pela expiração máxima de 5 minutos definida pela chave de condição. s3:signatureAge O console Amazon S3 gera pré-assinados URLs quando você escolhe o botão Download e aplica seu próprio prazo de expiração de 5 minutos. Uma duração máxima menor que 2 minutos pode criar falhas aleatórias com base na sincronização do relógio e nas latências.

O Amazon S3 Object Lambda usa um tempo de expiração de 61 segundos, portanto, definir condições em um s3:signatureAge valor de 61 segundos ou mais não causará nenhuma interrupção. Durações mais curtas podem ser menos confiáveis e causar falhas intermitentes.

A região cruzada do Amazon S3 CopyObjectnão é interrompida por uma expiração máxima de 5 minutos. No entanto, durações mais curtas podem criar falhas aleatórias com base na sincronização do relógio e nas latências.

Em AWS Lambda, GetFunctionfornece uma URL para objetos fora da conta do cliente, para que as políticas do cliente não afetem o gerado URLs.

O Amazon Redshift Spectrum foi testado com s3:signatureAge uma condição de 16 minutos. No entanto, durações mais curtas podem causar interrupções.

Guardrail para s3:AuthType quando não estiver usando restrições de rede

O console do Amazon S3 geralmente é afetado pela grade de proteção. s3:authType O console é roteado para o Amazon S3 com base na configuração da rede local. Se a rede local for roteada para o Amazon S3 de uma forma que a restrição de rede permita, o console do Amazon S3 ainda funcionará. No entanto, se for roteado por meio de um proxy ou da Internet pública de uma forma não permitida, o uso será bloqueado. No entanto, bloquear o uso é provavelmente a intenção dessa política.

O Amazon S3 Object Lambda é afetado se a função Lambda não estiver conectada a uma VPC apropriada. Nessa configuração, a VPC deve ter um gateway NAT, não para acessar o bucket do S3, mas para fazer chamadas. WriteGetObjectResponse

A região cruzada do Amazon S3 CopyObjecté interrompida se essa grade de proteção for aplicada a uma política de bucket sem a exceção recomendada de quando for verdadeira. aws:viaAWSService

O Amazon Redshift Spectrum é afetado pelo guardrail, a menos que s3:authType o roteamento de VPC aprimorado seja usado. Atualmente, o Redshift Spectrum oferece suporte ao roteamento aprimorado de VPC somente com clusters sem servidor, não com clusters provisionados.