AWS S3 — Security
โดย Default แล้ว S3 ที่เราสร้างใหม่ทั้งหมดจะเป็น PRIVATE!
ทีนี้เมื่อเราสามารถตั้งค่าและปรับการเข้าถึงของ Buckets ต่างๆได้ด้วยเครื่องมือ 2 ตัวคือ
- Bucket Policies (bucket level)
Policies ทั้งหมดที่เรา set จะอยู่ที่ Bucket level ไม่สามารถระบุไปที่แต่ละ Object ได้ เหมาะกับการตั้ง Policies เป็นกลุ่มก้อน
- Access Control Lists (object level)
เราแยก permission ได้ที่ object แต่ละตัวได้ที่นี้เลย
และนอกเหนือจากนั้น S3 buckets ยังสร้าง access logs ซึ่งจะ Log เมื่อมีการ requests ทั้งหมดเข้าถึง S3 bucket ได้ด้วย (log ที่สร้างขึ้นจะไปอยู่ Bucket อื่นๆนะ)
S3 Cross-origin resource sharing (CORS)
อธิบายแบบสั้นๆง่ายๆคือในบางกรณี S3 bucketเราอาจจะถูก reference ได้จาก S3 bucket ตัวอื่นนั้นเอง ด้วยกรณีอย่างนั้นจะทําให้เกิด CORS ขึ้นและ เราต้องไปตั้งให้มันไม่ block
ซึ่งการตั้งค่าจะอยู่ที่ bucket level ในส่วน permission
โดยหลักการแล้วคือเราต้องมาตั้ง origin ที่ allow ให้เข้ามาและ method ที่ยอมให้เข้าถึงข้างล่าง
S3 ยังมีอีกสิ่งนึงเรียกว่า Pre-sign URL
pre-sign URLเป็นการให้สิทธิ์ในการเข้าถึง S3 object ด้วยสิทธิ์ และ ระยะเวลาที่เรากําหนด โดย default expiration time คือ 3600 second
ซึ่งด้วยวิธีนี้เราจะไม่จําเป็นที่จะต้องให้สิทธิ์เจาะจงกับใครเลย เพียงแค่มี Url ก็สามารถเข้าถึง S3 object ได้แล้ว ซึ่งมันดีในแง่ทั้งการจัดการ และ security ด้วย เพราะเป็น temporary access นั้นเอง
ซึ่งวิธีใช้งานมันง่ายมากคือ ใช้ AWS CLI ระบุไปที่ Bucket/s3 Object นั้นๆก็จะได้ pre-sign URL มา
aws s3 presign <S3Uri>[ — expires-in <value>]
หรือถ้าเราใช้ AWS CDK ก็สามารเรียกใช้ง่ายๆแค่
var params = {Bucket: ‘bucket’, Key: ‘key’};
var url = s3.getSignedUrl(‘getObject’, params);
console.log(‘The URL is’, url);
เป็นต้น เรียก method เดียวและส่ง params พวก bucket s3 และ key เข้าไปง่ายๆแค่นี้เองเลย (getObject เป็นชื่อ operations ที่เราจะเรียกใช้นั้นเอง)
ดู list ของ operation ทั้งหมดได้ที่นี้
