AWS在其儲存服務S3加入了更多安全與存取控制功能,包括物件所有權儲存桶所有者條件,還有現在用戶可以利用儲存點(Access Points),存取S3的複製API,目前這3個功能已經在所有AWS地區開放。

物件所有權新功能讓使用者,可以確保儲存桶中新創建的物件,具有與儲存桶相同的所有權,AWS提到,S3可以讓多個AWS帳戶,將物件上傳到同一個儲存桶中,每個帳戶擁有物件的所有權以及控制權,這種多對一的上傳模型,在把S3當做資料湖和其他類型資料儲存庫的用例非常方便,使內外部的團隊都可以集中貢獻資料。不過,在多對一上傳模型中,上傳到儲存桶的物件,歸上傳的帳戶所有,儲存桶擁有者無法控制儲存桶中的物件,也無法使用儲存桶政策來共享物件,造成管理上的不便。

為了解決這個問題,AWS加入新的物件所有權功能,儲存桶擁有者將可以配置強制物件所有權,歸儲存桶擁有者所有。AWS強調,這個功能不會改變現有物件的權限,在部分情況下,使用者擁有的S3物件會變多,在用戶報告與指標中的數字可能出現變化,AWS CloudFormation對物件所有權的支援則還在開發當中。

而儲存桶所有者條件,則可以在創建新物件或是執行其他S3操作時,確認儲存桶的所有權,協助使用者正確寫入目標儲存桶。AWS表示,由於大多數的S3操作,都是從特定的S3儲存桶,進行讀取或是寫入,在執行操作時,使用者在請求中加入名稱,指定要使用的儲存桶,由於在S3中,是根據名稱來辨識儲存桶,當應用程式使用錯誤的儲存桶名稱,可能會出現意料之外的互動操作。

為了避免這種情況,使用者可以使用所有者條件,先驗證目標儲存桶的所有權,是否為預期的AWS帳戶擁有,只要使用參數或是標頭,將AWS帳戶ID傳遞給S3儲存桶或是物件API,就能進行驗證,當所有者帳戶配對錯誤,則系統回傳403錯誤代碼。

另外,AWS也強化了S3儲存點的功能。在S3中,使用者可以利用儲存點,以高精細度的控制,存取共享的資料集,而不用麻煩地管理儲存桶上複雜的政策,使用者可以爲每一個應用程式創建儲存點,並且使用IAM政策監控透過儲存點到S3的操作。

在新的存取功能中,AWS讓使用者使用唯一識別AWS資源(ARN)而非儲存桶名稱,結合S3儲存點與物件複製API,方便地儲存S3儲存桶中的物件。


Advertisement

更多 iThome相關內容