S3
graph LR; A(外部User)-->B(Block Public Access); B-->C(Bucket Policy); B-->D(ACL) E(內部User) --> F(I AM) M(Server Access Logging) --監控--> G N(Object Level Logging) --監控--> I F --> G(Bucket) C --> G; D --> G; G --> H(ACL) H --> I(Object
可用性 Availbility
耐用性 Durability) I --> J(MFA 手機驗證) I --> K(Version) I --> L(Lock) I --加密--> O(Server Side) I --加密--> P(Client Side) O --> Q(CMKs Stored) O --> R(S3 Managed) O --> S(Custom Provided) P --> T(AP KEY)
AP KEY = 使用者在本地應用程式加密金鑰
檔案加密方式
- 伺服器
- 由KMS建立的CMK(CMKs stored in AWS KMS)
- S3託管的加密金鑰(S3 - Managed Encryption Keys)
- 客戶提供的加密金鑰(Customer-Provided Encryption Keys)
- 用戶
- 使用存在本地應用程式的加密金鑰(Use a master key you store within your appliction)
存取控制
外三
- Block Public Access 預設關閉對外權限,避免使用者將Bucket、Object對外開放
- Bucket Policy 可以控制更細微的權限:指定特定IP或是Header
- ACL 可以透過網頁設定較為簡單的原則
內一
- User 針對 200-Areas/230-知識擴展/讀書筆記/AWS/I AM進行控管
監控
Server Access Logging 針對Bucket做存取的監控
Client Level Logging 針對Oject 存取做監控
檔案刪除
- MAF 刪除檔案需要手機驗證確認才可以
- Lock 完全不開放刪除權限
- Version 版本控管方式,可以選擇要復原的版本