S3 Security Flashcards
Как разрешать/запрещать доступ к S3 бакетам?
USER-BASED IAM Policies и RESOURCE-BASED Bucket Policies
… - это самый популярный способ управления S3 security. Его преимещество в том, что он является … - то есть можно
Bucket Policies, Cross Account, разрешить доступ к S3 бакету пользователям из других акаунтов
Всем пользователям дали доступ через Bucket Policy.
Одному из пользователей НЕ удаётся выполнить операцию.
Значит …
на нём висит explicit DENY
Какие поля есть в Bucket Policy? Какие поля есть в Bucket Policy Statement?
version statement; sid action effect principle
В чём особенность поля principle в S3 bucket policy?
пользователь может быть из другого аккаунта
Cross Account доступ к S3 - можно сделать только через …
Bucket Policy
Как можно Заставить (force) объект быть зашифрованным при загрузке?
используя bucket policy
Если мы знаем, что все наши S3 бакеты должны НЕ быть публичны, то …
это можно ограничить на уровне аккаунта.
Есть возможность определять метаданные для объекта. Пары ключ-значение. Эти метаданные можно позже получить вместе с объектом. Как называется?
S3 User-Defined Object Metadata
User-defined object metadata names должны начинаться с …. Требования к правописанию?
“x-amz-meta-”, lowercase
«Content-Type: html» - это …, а «x-amz-origin: Paris» это … metadata
amazon-defined, user-defined
S3 Object Tags примеры использования
Fine-grained permissions (только доступ к объектам с определённым тэгам), Для аналитики (S3 Analytics, чтобы сгруппировать по тэгам)
Ограничение S3 Object Tags и S3 метаданных в том, что … Обойти это можно через …
Not Searchable Невозможно осуществлять поиск по тэгам или метаданным в S3. стороннее хранилище в качестве search index (например, DynamoDB).
Что если сайт при запросе клиента запрашивает загрузку картинок из S3?
Нужно разрешить этому S3 бакету определённые значения CORS заголовка Access-Control-Allow-Origin. А именно - origin сайта, который запрашивает картинки. Или *
MFA Delete нужен чтобы … при таких операциях как …. При это пользователь должен …
чтобы дополнительно обезопасить данные, Delete, Versioning Suspend, ввести MFA код
Для каких операций Нельзя настроить MFA?
безобидных (включение версионирования, перечисление объектов)
Какие условия есть для включения MFA delete?
Versioning, Root Account
Какие ограничения есть для включения MFA delete?
только из AWS CLI, НЕЛЬЗЯ из AWS Console
Что такое Pre-singed URL? Для чего оно нужно?
Пользователь, который использует pre-signed URL, имеет те же permissions (для GET / PUT запросов на этот S3 объект), что и пользователь, сгенерировавший этот pre-signed URL
Как можно сгенерировать Pre Signed URL? В чём разница между способами?
Через S3 Console (max expiration 12h); Через AWS CLI (max expiration 168h); Через SDK
Каков Use-Case и ключевые слова для pre-signed URL?
У нас есть один S3 объект в бакете, которым мы хотим поделиться с кем-то вне AWS’а. Но делать этот файл публичным мы не хотим. “Temporary access, URL for 1 specific file for download/upload.”
Для более удобного управления правами доступа разных групп пользователей к большому S3 бакету можно использовать …, разделив бакет по …
S3 Access Points, префиксам
S3 Access Point бывает … типов: … и …
двух, VPC и Internet
У каждого S3 Access Point может быть своя …, которая абсолютно аналогична …
Policy, S3 Resource Policy
Какие use-case можно назвать для S3 Object Lambda?
Редактирование объект, в зависимости от идентичности клиента, который их запрашивает, Конвертировать формат объекта из XML в JSON, Добавить watermark на картинку, на основании того, кто запросил объект
Какие компоненты есть в архитектуре для S3 Object Lambda?
S3 Bucket, S3 Access Point, Lambda, S3 Object Lambda Access Point
