立即啟動! 封鎖現在或未來所有對 S3 資料進行的公開存取
將資料存放在 Amazon S3,以 S3 封鎖公開存取避免未經授權的存取。Amazon S3 是唯一允許您在目前或未來使用 S3 封鎖公開存取針對儲存貯體或帳戶層級中所有物件封鎖公開存取的物件儲存服務。
為確保您所有 S3 儲存貯體和物件的公開存取皆已封鎖,請開啟封鎖所有公開存取。只需在 S3 管理主控台按幾下滑鼠,即可將 S3 封鎖公開存取套用於帳戶中的每個儲存貯體 – 包括現有的儲存貯體以及未來建立的任何新儲存貯體 – 並確保任何物件都不會被公開存取。 依據預設,會針對所有新儲存貯體啟用「S3 封鎖公開存取」
S3 封鎖公開存取
S3 封鎖公開存取提供對整個 AWS 帳戶或針對個別 S3 儲存貯體層級的控制,可確保物件現在和未來永遠不會開放公開存取。
儲存貯體和物件的公開存取需透過存取控制清單 (ACL) 或儲存貯體政策,或同時透過兩者授予。為確保您所有 S3 儲存貯體和物件的公開存取皆已封鎖,請在帳戶層級開啟封鎖所有公開存取。這些設定會套用到整個帳戶目前和未來的所有儲存貯體。
AWS 建議開啟封鎖所有公開存取,但在套用任何這些設定之前,請先確定您的應用程式能在沒有公開存取下正常運作。如果儲存貯體或物件需要特定層級的公開存取,您可根據特定儲存使用案例自訂以下各設定。
所有新的儲存貯體預設都會啟用「封鎖公開存取」。若要限制對帳戶中所有現有儲存貯體的存取,您可以在帳戶層級啟用「封鎖公開存取」。S3 封鎖公開存取設定會覆寫允許公開存取的 S3 許可,讓帳戶管理員可以輕鬆設定集中控制,以避免不同的安全組態,無論物件的新增方式或儲存貯體的建立方式為何。
如果在啟用 S3 封鎖公開存取時將物件寫入至 AWS 帳戶或 S3 儲存貯體,且該物件透過 ACL 或政策指定任何類型的公開許可,這些政策許可將遭封鎖。
除了 S3 主控台,您也可透過 AWS CLI、SDK 或 REST API 啟用 S3 封鎖公開存取。任一選項的詳細說明皆可在 S3 封鎖公開存取文件中找到。請謹記,您可隨時進入 S3 主控台 (此處會標記內含永久公開許可之物件的儲存貯體) 查看公開儲存貯體,也可用 AWS Trusted Advisor 的 S3 儲存貯體許可檢查,在有任何儲存貯體可用時免費通知您。
運作方式
相關的部落格文章
AWS 新聞部落格
S3 封鎖公開存取 – 為您的帳戶和儲存貯體提供另一層保護
Amazon S3 封鎖公開存取提供更高等級的保護,適用於帳戶層級,也適用於個別的儲存貯體,包括您未來可能建立的帳戶或儲存貯體。您可封鎖現有的公開存取 (無論是由 ACL 或政策指定),並確保公開存取僅授予給新建立的項目。
AWS 新聞部落格
注意:Amazon S3 安全變更將於 2023 年 4 月推出
自 2023 年 4 月開始,我們將對 Amazon S3 進行兩項變更,以使我們最新的儲存貯體安全最佳實務自動生效。一旦變更對目標區域生效,該區域中所有新建立的儲存貯體將預設會啟用 S3 封鎖公有存取並停用 ACL。
AWS 儲存部落格
進一步了解如何使用 Amazon S3 封鎖公開存取和 S3 Object Lock
S3 能如此成功的原因之一,是因為我們從一開始便專注於資料安全性。我們透過不斷投資,提升儲存的安全等級,並與客戶合作,以滿足日益提高的安全需求,同時堅持我們提供簡易儲存的使命。
AWS 新聞部落格
AWS Config 更新 – 保護 S3 儲存貯體的新受管規則
今天我們將新增兩項新的受管規則,這些規則將協助您保護 S3 儲存貯體。只要按一下,便可啟用這兩項規則。兩項新規則為:s3-bucket-public-write-prohibited 和 s3-bucket-public-read-prohibited。自動識別允許全域寫入和讀取存取的儲存貯體。
