本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

附录 B：预签名的 URLs 控件如何影响 AWS 服务

本附录描述了使用预签名的 URLs控件（如附录 A 中所述）与本指南前面描述的控件之间的交互。 AWS 服务

s3: SignatureAge 的护栏

Amazon S3 控制台不会因为s3:signatureAge条件密钥设置的最长 5 分钟到期时间而中断。 当您选择 “下载” 按钮 URLs 时，Amazon S3 控制台会生成预签名，并应用自己的 5 分钟到期时间。短于 2 分钟的最大持续时间可能会导致基于时钟同步和延迟的随机故障。

Amazon S3 Object Lambda 使用的过期时间为 61 秒，因此将条件设置s3:signatureAge为 61 秒或更长时间不会造成任何中断。较短的持续时间可能不太可靠，并可能导致间歇性故障。

Amazon S3 跨区域CopyObject不会因为最长 5 分钟的过期时间而中断。但是，较短的持续时间可能会导致基于时钟同步和延迟的随机故障。

在中 AWS Lambda，GetFunction提供指向客户账户之外对象的 URL，因此客户政策不会影响生成的对象 URLs。

亚马逊 Redshift Spectrum 已经过测试s3:signatureAge，条件为 16 分钟。但是，较短的持续时间可能会导致中断。

不使用网络限制时 s3: authType 的护栏

Amazon S3 控制台通常会受到s3:authType护栏的影响。 控制台根据本地网络配置路由到 Amazon S3。 如果本地网络以网络限制允许的方式路由到 Amazon S3，则 Amazon S3 控制台仍然可以运行。 但是，如果以不允许的方式通过代理或公共互联网进行路由，则使用将被阻止。 但是，阻止使用可能是该政策的目的。

如果 Lambda 函数未连接到相应的 VPC，则 Amazon S3 对象 Lambda 会受到影响。 在此配置中，VPC 必须具有 NAT 网关，不是为了访问 S3 存储桶，而是为了调用WriteGetObjectResponse。

如果将此保护措施应用于存储桶策略，而没有建议的例外情况（何时aws:viaAWSService为真），则会中断 Amazon S3 跨区域CopyObject。

除非使用增强型 VPC 路由s3:authType，否则 Amazon Redshift Spectrum 会受到护栏的影响。目前，Redshift Spectrum 仅支持无服务器集群的增强型 VPC 路由，不支持已配置集群的增强型 VPC 路由。