Editor Top
|
|
A partir de abril de 2023, realizaremos dos cambios en Amazon Simple Storage Service (Amazon S3) para poner en vigencia automáticamente nuestras prácticas recomendadas más recientes para la seguridad de depósitos. Los cambios entrarán en vigencia en abril y se implementarán en todas las regiones de AWS en unas semanas.
Una vez que los cambios entren en vigencia para una región de destino, todos los depósitos recién creados en la región tendrán de manera predeterminada el acceso público bloqueado de S3 habilitado y las listas de control de acceso (ACL) deshabilitadas. Ambas opciones ya son valores predeterminados de la consola y se han recomendado durante mucho tiempo como mejores prácticas. Las opciones se convertirán en las predeterminadas para los depósitos creados con la API de S3, CLI de S3los SDK de AWS o las plantillas de AWS CloudFormation.
Como parte de la historia, los depósitos y objetos de S3 siempre han sido privados de forma predeterminada. Agregamos Block Public Access en 2018 y la capacidad de deshabilitar las ACL en 2021 para brindarle más control, y llevamos mucho tiempo recomendando el uso de políticas de AWS Identity and Access Management (IAM) como una alternativa moderna y más flexible.
A la luz de este cambio, recomendamos un enfoque deliberado y reflexivo para la creación de nuevos depósitos que se basen en depósitos públicos o ACL, y creemos que la mayoría de las aplicaciones no necesitan ninguno de los dos. Si su aplicación resulta ser una que lo hace, entonces deberá realizar los cambios que describo a continuación (asegúrese de revisar su código, scripts, plantillas de AWS CloudFormation y cualquier otra automatización).
que esta cambiando
Echemos un vistazo más de cerca a los cambios que estamos haciendo:
Acceso público al bloque S3 – Las cuatro configuraciones a nivel de depósito descritas en esta publicación se habilitarán para depósitos recién creados:
Un intento posterior de establecer una política de depósito o una política de punto de acceso que otorgue acceso público será rechazado con un error 403 Acceso denegado. Si necesita acceso público para un nuevo depósito, puede crearlo como de costumbre y luego eliminar el bloque de acceso público llamando DeletePublicAccessBlock (necesitará s3:PutBucketPublicAccessBlock permiso para llamar a esta función; lea Bloquear acceso público para obtener más información sobre las funciones y los permisos).
ACL deshabilitadas – Los Configuración forzada del propietario del segmento se habilitará para depósitos recién creados, haciendo que las ACL de depósito y las ACL de objetos sean ineficaces, y asegurando que el propietario del depósito sea el propietario del objeto sin importar quién cargue el objeto. Si desea habilitar las ACL para un depósito, puede configurar el ObjectOwnership parámetro a ObjectWriter en tus CreateBucket Solicita o puedes llamar DeleteBucketOwnershipControls después de crear el cubo. Necesitará s3:PutBucketOwnershipControls permiso para usar el parámetro o llamar a la función; lea Controlar la propiedad de los objetos y Crear un depósito para obtener más información.
Manténganse al tanto
Publicaremos una publicación inicial de Novedades cuando comencemos a implementar este cambio y otra cuando la implementación haya llegado a todas las regiones de AWS. También puede ejecutar sus propias pruebas para detectar el cambio en el comportamiento.
— jeff;
