AWS預計要對S3進行兩項安全性變更,儲存桶安全實踐將自動在2023年4月開始生效,並會在數周內擴展到所有AWS區域。一旦該區域變更生效,該區域中所有新創建的儲存桶,將會預設禁止S3公開存取,並且停用存取控制列表(ACL)。

官方提到,這兩個選項早已經是控制臺預設配置,也一直是推薦的最佳實踐,而現在這些選項將會成為使用S3 API、S3 CLI、AWS SDK或AWS CloudFormation模板,所創建儲存桶的預設選項。

S3儲存桶和物件預設都是私密狀態,AWS在2018年添加阻擋公開存取功能,並在2021年添加停用ACL的功能,提供用戶更多控制權,並以AWS IAM政策作為替代方案。官方認為絕大多數應用程式,皆不需要用到這兩個選項,希望用戶能夠以更謹慎的方式,創建擁有公開存取和ACL功能儲存桶。

之後當用戶需要使用兩者之一,都需要手動調整,因此AWS提醒用戶一定要檢查程式碼、腳本、AWS CloudFormation模板和其他自動化設定。

阻擋所有公開存取功能,具體來說包含四個細項,而在2023年4月的變更,這4項都會預設開啟,包括阻擋儲存桶和物件透過新ACL授權的公共存取;阻擋儲存桶和物件透過任何ACL授權的公共存取;阻擋儲存桶和物件,透過任何公開儲存桶或存取點政策授權的公共存取;最後則是阻擋儲存桶和物件,透過任何公開儲存桶或存取點政策授權的公開和跨帳號存取。

在變更生效之後,嘗試以儲存桶政策或存取點政策,授權儲存桶公開存取都會被拒絕,並且顯示430存取拒絕錯誤,如果用戶仍需要授予新儲存桶公開存取權限,還是能以一般程序創建,只是需要呼叫DeletePublicAccessBlock來移除公開存取的阻擋限制。

而預設停用存取控制列表則會在新創建桶中,啟用儲存桶擁有者強制設定,這將會使儲存桶ACL和物件ACL失效,並確保無論上傳對象為何,儲存桶擁有者都是物件的所有者。儲存桶要啟用ACL,需要在CreateBucket請求中,將ObjectOwnership參數配置成ObjectWriter,或是呼叫DeleteBucketOwnershipControls。

熱門新聞

Advertisement