S3 Object Ownership 的兩種模式差異
Amazon S3 服務全名為 簡單儲存服務 (Simple Storage Service),可支援存取放置於AWS公有雲的檔案,類似 Google Drive 或 Microsoft OneDrive 的網碟功能。S3 儲存容器稱為水桶,儲存的檔案稱為物件。
建立S3水桶時,須決定上傳到水桶的物件,其擁有者將自動歸屬於誰,稱為物件擁有權(Object Ownership)設定。只有物件的擁有者才能設定物件的存取權。這裡簡單介紹兩種設定模式的差異:
🔒 模式一:ACL disabled(recommended)
所有物件都由 Bucket 擁有者持有,不論是誰上傳。ACL 完全被停用,不能再用 ACL 來授權。存取控制只能透過 IAM Policy 或 Bucket Policy 來設定。
優點:集中管理,避免跨帳號物件所有權混亂。
最佳實務:AWS 建議使用這種模式,因為更安全、更容易維護。
🔑 模式二:ACLs enabled
物件可能由上傳者帳號持有,而不是 Bucket 擁有者。存取控制可以透過 ACL(物件或 Bucket 層級)來設定。Bucket Policy 仍然可以使用,但 ACL 會一起參與判斷。
用途:適合跨帳號上傳的特殊情境,例如合作夥伴需要保有自己上傳檔案的所有權。
缺點:管理較複雜,容易造成權限混亂。
⚡ 簡單比較 模式 物件擁有者 存取控制方式 AWS 建議 ACL Disabled Bucket 擁有者 Policy(IAM / Bucket) ✅ 建議 ACL Enabled 上傳者帳號可能成為物件擁有者 ACL + Policy 僅限特殊需求
✍️ 結語
如果你的環境需要簡單、集中、安全的存取管理,選擇 ACL Disabled(Bucket owner enforced) 是最佳做法。 只有在跨帳號物件所有權的特殊需求下,才需要考慮 ACL Enabled。
沒有留言:
張貼留言