本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为预签名者建立护栏并进行监控 URLs
<a name="introduction"></a>

*Ryan Baker，亚马逊 Web Services (AWS)*

*2025 年 8 月*（[文档历史记录](doc-history.md)）

安全是所有公司最关心的问题，也是 [AWS Well-Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html) 的关键支柱。作为一名安全工程师，你需要实施符合组织控制要求的管理护栏。在 Well-A AWS rchitected Framework [中，](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/definitions.html#id-adc431e7-de7a-4b38-c6ec-4b3aee17d8c7)护栏定义了限制活动的边界。

本指南提供了使用预签名的背景信息和最佳实践 URLs，这些信息与亚马逊简单存储服务 (Amazon S3) Simple Service 对象一起使用。Presigned URLs 允许有权访问有效凭证的用户或应用程序生成预先签名的请求，并在定义的到期时间之前被接受。presigned 的一个常见用例 URLs 是通过共享这些请求来扩展对对象或资源的访问权限。共享的预签名请求由有权执行特定请求的系统或用户生成，然后可以发送给其他系统或用户以扩展执行相同请求的能力。

在本指南中，您将学习：
+ 预签名的概念 URLs
+ 预签名的用例 URLs
+ 推荐和可选的护栏
+ 监控选项
+ 如何 AWS 服务 使用预签名的示例 URLs

## 目标受众
<a name="intended-audience"></a>

本指南适用于负责在 AWS Cloud中实施安全控制的架构师和安全工程师。

## 目标
<a name="objectives"></a>

作为一名安全工程师，你需要了解解决方案构建者是如何实现安全性的，以及最终用户拥有的访问权限类型。本指南涵盖了一种预签 URLs名访问类型，通常用于 Amazon S3。Presig URLs ned 为构建者提供了有效桥接身份验证机制的选项。

在 Amazon S3 中，预签名 URLs 代表一种独特的请求类别。安全工程师可以监控和管理这些请求，以确保仅在适当和必要的情况下使用这些请求。本指南的目的是帮助安全工程师提供此类高级监督。

阅读本指南后，您应该了解什么是预签名 URL，通常何时使用它，以及使用它的动机。

## 先决条件
<a name="prerequisites"></a>

如果您的公司尚未按照《在 [AWS 上实施安全控制》指南中所述定义安全策略、控制](https://docs.aws.amazon.com/prescriptive-guidance/latest/aws-security-controls/sec-controls-gov-model.html)目标或标准，我们建议您在继续阅读本指南之前完成这些监管任务。

在开始之前，您还应该熟悉控制和监控方面的推荐和可选最佳实践。有关更多信息，请参阅:
+ [服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)（AWS Organizations 文档）
+ [资源控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)（AWS Organizations 文档）
+ [亚马逊 S3 的存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)（亚马逊 S3 文档）
+ [使用服务器访问日志记录请求](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)（Amazon S3 文档）
+ [使用 AWS CloudTrail（亚马逊 S3 文档）记录亚马逊 S3 API 调用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging.html)