本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon S3 策略的最佳实践
在整个组织中实施 Amazon S3 策略时,遵循既定的最佳实践有助于确保成功部署和维护。
简单开始并进行一些小更改
要简化调试,请先从简单策略开始,然后一次更改一个项目。在进行下一个更改之前,验证每个更改的行为和影响。此方法可以减少出现错误或意外结果时必须考虑的变量数量。
建立审查流程
实施流程以监控新的策略属性,评估政策异常情况,并进行调整以保持与组织安全和运营要求的一致性。
使用验证对您的 Amazon S3 政策的更改 DescribeEffectivePolicy
更改 Amazon S3 政策后,请查看更改级别以下的代表账户的有效政策。您可以使用 Amazon 管理控制台、 DescribeEffectivePolicy API 操作或其 Amazon CLI 或 Amazon SDK 变体之一来查看有效策略。确保您所做的更改对有效策略产生预期影响。
沟通与培训
确保您的组织了解您的政策的目的和影响。就预期行为以及如何处理因执行策略而导致的失败提供明确的指导。
为合法的公共访问需求做好计划
在实施组织级策略之前,请确定需要公共 Amazon S3 存储桶用于合法业务目的(例如静态网站托管)的账户。考虑使用 OU 级别或账户级别的政策附件将这些账户排除在外,或者将公共存储桶需求整合到专用账户中。
监控策略执行情况
Amazon CloudTrail 用于监控策略附件和强制执行操作。设置 EventBridge 规则以自动响应违反政策或更改的情况。