本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 附錄 B：預先簽章 URLs的控制項如何影響 AWS 服務
<a name="appendix-b"></a>

此附錄說明 AWS 服務 使用預先簽章 URLs 與本指南先前所述的控制項之間的互動，如[附錄 A](appendix-a.md) 所述。

## s3：signatureAge 的護欄
<a name="app-b-s3-signature-age"></a>

Amazon S3 主控台不會因為`s3:signatureAge`條件索引鍵設定的 5 分鐘最大過期而中斷。當您選擇**下載**按鈕並套用自己的 5 分鐘過期時間時， Amazon S3 主控台會產生預先簽章URLs。少於 2 分鐘的最長持續時間可能會根據時鐘同步和延遲產生隨機失敗。

Amazon S3 Object Lambda 使用 61 秒的過期時間，因此在 61 秒以上的`s3:signatureAge`值上設定條件不會造成任何中斷。較短的持續時間可能較不可靠，並可能導致間歇性故障。

Amazon S3 跨區域 **CopyObject** 不會因最長過期 5 分鐘而中斷。不過，較短的持續時間可能會根據時鐘同步和延遲產生隨機失敗。

在 中 AWS Lambda，**GetFunction** 提供客戶帳戶外部物件的 URL，因此客戶政策不會影響產生的 URLs。

Amazon Redshift Spectrum 已經過 16 分鐘`s3:signatureAge`條件測試。不過，較短的持續時間可能會導致中斷。

## 不使用網路限制時的 s3：authType 護欄
<a name="app-b-s3-auth-type"></a>

Amazon S3  主控台通常受`s3:authType`護欄影響。主控台會根據本機網路組態路由至 Amazon S3。 如果本機網路路由至 Amazon S3 的方式是網路限制允許的方式，Amazon S3 主控台仍會運作。 不過，如果透過代理或公有網際網路以不允許的方式路由，則會封鎖用量。 不過，封鎖用量可能是此政策的意圖。

如果 Lambda 函數未連接到適當的 VPC，Amazon S3 Object Lambda 會受到影響。在此組態 中，VPC 必須具有 NAT 閘道，而不是存取 S3 儲存貯 體，而是呼叫 **WriteGetObjectResponse**。

如果將此護欄套用至儲存貯體政策，而沒有建議的例外狀況，則 Amazon S3 跨區域 **CopyObject** 會中斷`aws:viaAWSService`****。

除非使用增強型 VPC `s3:authType` 路由，否則 Amazon Redshift Spectrum 會受到護欄影響。目前，[Redshift Spectrum 僅支援使用無伺服器叢集的增強型 VPC 路由，不支援佈建叢集](https://docs.aws.amazon.com/redshift/latest/mgmt/spectrum-enhanced-vpc.html)。