Amazon S3加入更多安全與存取控制功能

AWS在其儲存服務S3加入了更多安全與存取控制功能，包括物件所有權、儲存桶所有者條件，還有現在用戶可以利用儲存點（Access Points），存取S3的複製API，目前這3個功能已經在所有AWS地區開放。

物件所有權新功能讓使用者，可以確保儲存桶中新創建的物件，具有與儲存桶相同的所有權，AWS提到，S3可以讓多個AWS帳戶，將物件上傳到同一個儲存桶中，每個帳戶擁有物件的所有權以及控制權，這種多對一的上傳模型，在把S3當做資料湖和其他類型資料儲存庫的用例非常方便，使內外部的團隊都可以集中貢獻資料。不過，在多對一上傳模型中，上傳到儲存桶的物件，歸上傳的帳戶所有，儲存桶擁有者無法控制儲存桶中的物件，也無法使用儲存桶政策來共享物件，造成管理上的不便。

為了解決這個問題，AWS加入新的物件所有權功能，儲存桶擁有者將可以配置強制物件所有權，歸儲存桶擁有者所有。AWS強調，這個功能不會改變現有物件的權限，在部分情況下，使用者擁有的S3物件會變多，在用戶報告與指標中的數字可能出現變化，AWS CloudFormation對物件所有權的支援則還在開發當中。

而儲存桶所有者條件，則可以在創建新物件或是執行其他S3操作時，確認儲存桶的所有權，協助使用者正確寫入目標儲存桶。AWS表示，由於大多數的S3操作，都是從特定的S3儲存桶，進行讀取或是寫入，在執行操作時，使用者在請求中加入名稱，指定要使用的儲存桶，由於在S3中，是根據名稱來辨識儲存桶，當應用程式使用錯誤的儲存桶名稱，可能會出現意料之外的互動操作。

為了避免這種情況，使用者可以使用所有者條件，先驗證目標儲存桶的所有權，是否為預期的AWS帳戶擁有，只要使用參數或是標頭，將AWS帳戶ID傳遞給S3儲存桶或是物件API，就能進行驗證，當所有者帳戶配對錯誤，則系統回傳403錯誤代碼。

另外，AWS也強化了S3儲存點的功能。在S3中，使用者可以利用儲存點，以高精細度的控制，存取共享的資料集，而不用麻煩地管理儲存桶上複雜的政策，使用者可以爲每一個應用程式創建儲存點，並且使用IAM政策監控透過儲存點到S3的操作。

在新的存取功能中，AWS讓使用者使用唯一識別AWS資源（ARN）而非儲存桶名稱，結合S3儲存點與物件複製API，方便地儲存S3儲存桶中的物件。