|
A partir de abril de 2023, haremos dos cambios en Servicio de almacenamiento easy de Amazon (Amazon S3) para poner en práctica automáticamente nuestras prácticas recomendadas más recientes para la seguridad de depósitos. Los cambios entrarán en vigencia en abril y se implementarán en todas las regiones de AWS en unas semanas.
Una vez que los cambios entren en vigor para una región de destino, todos los depósitos recién creados en la región tendrán, de manera predeterminada, Acceso público al bloque S3 habilitado y listas de management de acceso (ACL) deshabilitadas. Ambas opciones ya son valores predeterminados de la consola y se han recomendado durante mucho tiempo como mejores prácticas. Las opciones se convertirán en las predeterminadas para los depósitos que se crean con el API de S3, CLI de S3la SDK de AWSo Formación en la nube de AWS plantillas.
Como parte de la historia, los depósitos y objetos de S3 siempre han sido privados de forma predeterminada. Agregamos Block Public Entry en 2018 y la capacidad de deshabilitar ACL en 2021 para brindarle más management, y llevamos mucho tiempo recomendando el uso de Administración de acceso e identidad de AWS (IAM) políticas como una alternativa moderna y más versatile.
A la luz de este cambio, recomendamos un enfoque deliberado y reflexivo para la creación de nuevos depósitos que se basen en depósitos públicos o ACL, y creemos que la mayoría de las aplicaciones no necesitan ninguno de los dos. Si su aplicación resulta ser una que sí lo hace, deberá realizar los cambios que describo a continuación (asegúrese de revisar su código, scripts, Formación en la nube de AWS plantillas, y cualquier otra automatización).
que esta cambiando
Echemos un vistazo más de cerca a los cambios que estamos haciendo:
Acceso público al bloque S3 – Las cuatro configuraciones a nivel de depósito descritas en esta publicación se habilitará para depósitos recién creados:
Un intento posterior de establecer una política de depósito o una política de punto de acceso que otorgue acceso público será rechazado con un error 403 Acceso denegado. Si necesita acceso público para un nuevo depósito, puede crearlo como de costumbre y luego eliminar el bloque de acceso público llamando DeletePublicAccessBlock (necesitará s3:PutBucketPublicAccessBlock permiso para llamar a esta función; leer Bloquear acceso público para obtener más información sobre las funciones y los permisos).
ACL deshabilitadas – Él Configuración forzada del propietario del segmento se habilitará para depósitos recién creados, haciendo que las ACL de depósito y las ACL de objeto sean ineficaces, y asegurando que el propietario del depósito sea el propietario del objeto sin importar quién cargue el objeto. Si desea habilitar las ACL para un depósito, puede configurar el ObjectOwnership parámetro a ObjectWriter en tus CreateBucket Solicita o puedes llamar DeleteBucketOwnershipControls después de crear el depósito. Necesitará s3:PutBucketOwnershipControls permiso para usar el parámetro o llamar a la función; leer Management de la propiedad de los objetos y Creación de un cubo aprender más.
Manténganse al tanto
Publicaremos una primera Qué hay de nuevo publicar cuando comencemos a implementar este cambio y otro cuando la implementación haya llegado a todas las regiones de AWS. También puede ejecutar sus propias pruebas para detectar el cambio en el comportamiento.
— jeff;
