使用 S3 Storage Lens 存储统计管理工具审计对象所有权设置 - Amazon Simple Storage Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 S3 Storage Lens 存储统计管理工具审计对象所有权设置

Amazon S3 对象所有权是 S3 桶级别的设置,您可以使用它来禁用访问控制列表(ACL)并控制桶中对象的所有权。如果将对象所有权设置为“强制桶拥有者”,则可以禁用访问控制列表(ACL)并获取桶中每个对象的所有权。这种方法简化了对存储在 Amazon S3 中的数据的访问管理。

预设情况下,当另一个 Amazon Web Services 账户 将对象上载到您的 S3 桶,该账户(对象写入器)拥有该对象,拥有对象的访问权限,并可以授予其他用户通过 ACL 访问该数据元的权限。您可以使用对象所有权来更改此原定设置行为。

Amazon S3 中的大多数现代使用案例不再需要使用 ACL。因此,我们建议您禁用 ACL,除非出现必须单独控制每个对象的访问权限的异常情况。通过将对象所有权设置为“强制桶拥有者”,您可以禁用 ACL 并依赖策略进行访问控制。有关更多信息,请参阅 为您的存储桶控制对象所有权和禁用 ACL。

使用 S3 Storage Lens 存储统计管理工具访问管理指标,您可以识别未禁用 ACL 的桶。识别这些桶后,您可以将 ACL 权限迁移到策略并对这些桶禁用 ACL。

步骤 1:确定对象所有权设置的一般趋势

  1. 登录到Amazon Web Services Management Console,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/

  2. 在左侧导航窗格中,选择 Storage LensDashboards(控制面板)。

  3. Dashboards(控制面板)列表中,选择您要查看的控制面板的名称。

  4. Snapshot for date(日期的快照)部分中的 Metrics categories(指标类别)下,选择 Access management(访问管理)。

    Snapshot for date(日期的快照)部分将更新,以显示 % Object Ownership bucket owner enforced(对象所有权强制桶拥有者的百分比)指标。您可以看到账户或组织中为对象所有权使用“强制桶拥有者”设置以禁用 ACL 的桶的总体百分比。

步骤 2:确定对象所有权设置的桶级趋势

  1. 登录到Amazon Web Services Management Console,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/

  2. 在左侧导航窗格中,选择 Storage LensDashboards(控制面板)。

  3. Dashboards(控制面板)列表中,选择您要查看的控制面板的名称。

  4. 要查看更详细的桶级指标,请选择 Bucket(桶)选项卡。

  5. Distribution by buckets for date(按日期的桶划分的分布)部分中,选择 % Object Ownership bucket owner enforced(对象所有权强制桶拥有者的百分比)指标。

    图表将更新以显示 % Object Ownership bucket owner enforced(对象所有权强制桶拥有者的百分比)的每个桶明细。您可以看到哪些桶对于对象所有权使用“强制桶拥有者”设置来禁用 ACL。

  6. 要在上下文中查看“强制桶拥有者”设置,请向下滚动到 Buckets(桶)部分。对于 Metrics categories(指标类别),选择 Access management(访问管理)。然后清除 Summary(摘要)。

    Buckets(桶)列表显示所有三种对象所有权设置的数据:强制桶拥有者、首选桶拥有者以及对象写入器。

  7. 要筛选 Buckets(桶)列表以仅显示特定对象所有权设置的指标,请选择首选项图标( A screenshot that shows the preferences icon in the S3 Storage Lens dashboard. )。

  8. 清除您不想看到的指标。

  9. (可选)在 Page size(页面大小)下,选择要在列表中显示的桶数。

  10. 选择确认

步骤 3:将您的对象所有权设置更新为“强制桶拥有者”以禁用 ACL

在确定对于对象所有权使用对象写入器和首选桶拥有者设置后,您可以将 ACL 权限迁移到桶策略。完成 ACL 权限迁移后,您可以将对象所有权设置更新为“强制桶拥有者”以禁用 ACL。有关更多信息,请参阅 禁用 ACL 的先决条件