Amazon现在为S3服务增加阻挡公开访问(Block Public Access)功能,这是帐户等级的保护措施,以提高存储桶以及对象的安全性。无论是将AWS帐号用于托管Data Lake或是其他业务应用程序,阻挡公开访问功能都能作为帐户防范措施,防止存储桶内的机密文件意外曝光。
在默认情况下,新创建的Amazon S3存储桶和对象都是私有受保护的,但用户可以选择以访问控制列表(Access Control Lists,ACLs),以授权其他AWS帐号或是其他公共匿名请求的访问权限。用户可以给给多个帐户访问权限,并且限制特定IP访问,要求使用多重身份验证,或是允许其他帐户上传新对象到存储桶中。
而Amazon S3服务现在添加阻挡公开访问功能,目的是要提供用户多一道保护手段,减少因为低级错误而泄漏私有文件的机会。Amazon提到,阻挡公开访问是一个帐户等级的保护措施,适用各种包括未来创建的存储桶。无论是由访问控制列表或是政策指定的访问权限,都低于阻挡公开访问的权限,用户可以善用以确保新创建的项目不会对外曝光。
用户可以从S3控制台、CLI、S3 API和CloudFormation模板中设置阻挡公开访问功能。在帐户公开访问设置当中,关于访问控制列表有两个选项,另外还有两个管理存储桶的政策设置炫选项。
在访问控制列表底下,可以阻挡新的公共访问控制列表以及上传公共对象,包含这两个行为的PUT请求将会失效,不过,这个设置只会影响未来事件,无论是应用程序尝试上传具有访问控制列表的对象,或是管理员尝试对存储桶应用公共访问设置,都会受到阻挡。
用户不只可以阻挡新的公共访问控制列表以及对象,还能删除既存的授权设置,这个选项将会让S3在有授权请求时,拒绝任何的公共访问控制列表。这个设置会覆盖存储桶中的对象,任何当前和未来公共访问设置。
在对存储桶的管理上,用户不只可以阻挡新的公共存储桶政策,也能阻挡具有公共政策的存储桶被公共或是跨帐户访问。激活前者选项,系统将不允许使用新的公共存储桶策略,并确保未来PUT请求失效,但这个设置并不会影响现有存储桶以及对象设置。另外,激活后者选项则对将限缩公开访问存储桶的权限,以仅供存储桶拥有者和AWS服务使用。在用户移除政策后,这个选项能有效保护原本具公共政策的存储桶,并防止AWS写入至存储桶的日志文件被公开。
用户可以利用Zelkova自动推理系统,来确认部署的政策以及访问控制列表,是否将存储桶设置为公开。而现在Amazon S3阻挡公开访问功能,已经在所有AWS服务区域上线了,用户可以立即开始使用。