发布于: Nov 6, 2022
从 2023 年 3 月 1 日起,Amazon S3 将更改所有新 S3 存储桶的默认安全配置。对于在此日期之后创建的新存储桶,将会启用 S3 Block Public Access,并且将会禁用 S3 访问控制列表(ACL)。这些默认设置是在 Amazon S3 中保护数据安全的建议最佳实践。
默认情况下,Amazon S3 存储桶始终是私有的。账户之外的所有存储桶访问必须由存储桶所有者明确授权。为了简化存储桶安全最佳实践应用,Amazon S3 在 2018 年推出了 Block Public Access 并在 2021 年推出了禁用 ACL 的功能。S3 Block Public Access 可防止意外授予对 S3 存储桶的公开访问权限。ACL 是控制 S3 对象访问权限的最初方法,从 2011 年起,S3 存储桶支持使用 Amazon Identity and Access Management (IAM) 策略进行访问控制。通过禁用 ACL,您可以使用仅基于 IAM 的存储桶策略简化访问控制。通过更新默认存储桶配置,新的 S3 存储桶将启用 Block Public Access 和禁用 ACL。
大多数 S3 使用案例既不需要公共访问也不需要 ACL。对于大多数客户而言,无需采取任何措施。拥有公共存储桶访问使用案例或使用 ACL 的客户可以在创建 S3 存储桶之后禁用 Block Public Access 或启用 ACL。在这些情况下,您可能需要更新自动化脚本、Amazon CloudFormation 模板或其他基础设施配置工具来配置这些工具。
这些新的安全配置无需额外的费用,并且将应用于在由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域中的所有新 S3 存储桶。要了解更多信息,请访问《S3 用户指南》中的 S3 Block Public Access 和 S3 对象所有权。此外,您还可以在《Amazon CloudFormation 用户指南》(S3 Block Public Access - S3 对象所有权)中找到与这两个设置相关的更多信息。