使用 S3 Storage Lens 存储统计管理工具审计对象所有权设置
Amazon S3 对象所有权是 S3 桶级别的设置,您可以使用它来禁用访问控制列表(ACL)并控制桶中对象的所有权。如果将对象所有权设置为“强制桶拥有者”,则可以禁用访问控制列表(ACL)并获取桶中每个对象的所有权。这种方法简化了对存储在 Amazon S3 中的数据的访问管理。
预设情况下,当另一个 Amazon Web Services 账户 将对象上载到您的 S3 桶,该账户(对象写入器)拥有该对象,拥有对象的访问权限,并可以授予其他用户通过 ACL 访问该数据元的权限。您可以使用对象所有权来更改此原定设置行为。
Amazon S3 中的大多数现代使用案例不再需要使用 ACL。因此,我们建议您禁用 ACL,除非出现必须单独控制每个对象的访问权限的异常情况。通过将对象所有权设置为“强制桶拥有者”,您可以禁用 ACL 并依赖策略进行访问控制。有关更多信息,请参阅 为您的存储桶控制对象所有权和禁用 ACL。。
使用 S3 Storage Lens 存储统计管理工具访问管理指标,您可以识别未禁用 ACL 的桶。识别这些桶后,您可以将 ACL 权限迁移到策略并对这些桶禁用 ACL。
步骤 1:确定对象所有权设置的一般趋势
登录到Amazon Web Services Management Console,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/
。 -
在左侧导航窗格中,选择 Storage Lens 和 Dashboards(控制面板)。
-
在 Dashboards(控制面板)列表中,选择您要查看的控制面板的名称。
-
在 Snapshot for date(日期的快照)部分中的 Metrics categories(指标类别)下,选择 Access management(访问管理)。
Snapshot for date(日期的快照)部分将更新,以显示 % Object Ownership bucket owner enforced(对象所有权强制桶拥有者的百分比)指标。您可以看到账户或组织中为对象所有权使用“强制桶拥有者”设置以禁用 ACL 的桶的总体百分比。
步骤 2:确定对象所有权设置的桶级趋势
登录到Amazon Web Services Management Console,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/
。 -
在左侧导航窗格中,选择 Storage Lens 和 Dashboards(控制面板)。
-
在 Dashboards(控制面板)列表中,选择您要查看的控制面板的名称。
-
要查看更详细的桶级指标,请选择 Bucket(桶)选项卡。
-
在 Distribution by buckets for date(按日期的桶划分的分布)部分中,选择 % Object Ownership bucket owner enforced(对象所有权强制桶拥有者的百分比)指标。
图表将更新以显示 % Object Ownership bucket owner enforced(对象所有权强制桶拥有者的百分比)的每个桶明细。您可以看到哪些桶对于对象所有权使用“强制桶拥有者”设置来禁用 ACL。
-
要在上下文中查看“强制桶拥有者”设置,请向下滚动到 Buckets(桶)部分。对于 Metrics categories(指标类别),选择 Access management(访问管理)。然后清除 Summary(摘要)。
Buckets(桶)列表显示所有三种对象所有权设置的数据:强制桶拥有者、首选桶拥有者以及对象写入器。
-
要筛选 Buckets(桶)列表以仅显示特定对象所有权设置的指标,请选择首选项图标( )。
-
清除您不想看到的指标。
-
(可选)在 Page size(页面大小)下,选择要在列表中显示的桶数。
-
选择确认。
步骤 3:将您的对象所有权设置更新为“强制桶拥有者”以禁用 ACL
在确定对于对象所有权使用对象写入器和首选桶拥有者设置后,您可以将 ACL 权限迁移到桶策略。完成 ACL 权限迁移后,您可以将对象所有权设置更新为“强制桶拥有者”以禁用 ACL。有关更多信息,请参阅 禁用 ACL 的先决条件。