Estabelecimento de grades de proteção e monitoramento para pré-assinados URLs

Ryan Baker, Amazon Web Services ()AWS

Agosto de 2025 (histórico do documento)

A segurança é uma preocupação fundamental para todas as empresas e um pilar fundamental no AWS Well-Architected Framework. Como engenheiro de segurança, você desejará implementar barreiras administrativas alinhadas aos requisitos de controle organizacional. No AWS Well-Architected Framework, as grades de proteção definem os limites que limitam a atividade.

Este guia fornece informações básicas e melhores práticas para o uso de objetos pré-assinados URLs, que são usados com objetos do Amazon Simple Storage Service (Amazon S3). O pré-assinado URLs permite que usuários ou aplicativos que tenham acesso a credenciais válidas gerem solicitações assinadas com antecedência e aceitas até um prazo de expiração definido. Um caso de uso comum para presigned URLs é estender o acesso a objetos ou recursos compartilhando essas solicitações. Solicitações pré-assinadas compartilhadas são geradas por sistemas ou usuários que têm os direitos de realizar uma solicitação específica e, em seguida, podem ser enviadas a outros sistemas ou usuários para ampliar a capacidade de realizar a mesma solicitação.

Neste guia, você aprenderá:

Os conceitos de preassinado URLs
Casos de uso para pré-assinados URLs
Guardrails recomendados e opcionais
Opções de monitoramento
Exemplos de como Serviços da AWS usar pré-assinado URLs

Público-alvo

Este guia é voltado para arquitetos e engenheiros de segurança responsáveis pela implementação de controles de segurança na Nuvem AWS.

Objetivos

Como engenheiro de segurança, você quer saber como os criadores de soluções estão implementando a segurança e o tipo de acesso que seus usuários finais têm. Este guia aborda um tipo de acesso, pré-assinado URLs, que geralmente é usado com o Amazon S3. O Presigned URLs fornece aos construtores opções para unir eficientemente os mecanismos de autenticação.

No Amazon S3, os pré-assinados URLs representam uma categoria exclusiva de solicitações. Os engenheiros de segurança podem monitorar e gerenciar essas solicitações para garantir que elas sejam usadas somente quando apropriado e necessário. O objetivo deste guia é ajudar os engenheiros de segurança a fornecer esse tipo de supervisão de alto nível.

Depois de ler este guia, você deve entender o que é um URL pré-assinado, quando normalmente é usado e as motivações para seu uso.

Pré-requisitos

Se sua empresa não definiu uma política de segurança, objetivos de controle ou padrões, conforme descrito no guia Implementando controles de segurança na AWS, recomendamos que você conclua essas tarefas de governança antes de continuar com este guia.

Antes de começar, você também deve estar familiarizado com as melhores práticas recomendadas e opcionais para controle e monitoramento. Para obter mais informações, consulte:

Políticas de controle de serviços (AWS Organizations documentação)
Políticas de controle de recursos (AWS Organizations documentação)
Políticas de bucket para o Amazon S3 (documentação do Amazon S3)
Registro de solicitações com registro de acesso ao servidor (documentação do Amazon S3)
Registro de chamadas de API do Amazon S3 usando AWS CloudTrail(documentação do Amazon S3)

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Visão geral do pré-assinado URLs