iT邦幫忙

2023 iThome 鐵人賽

DAY 3
0

S3 提供一系列安全存取資料的機制。S3資料管理者可以透過IAM Policy或者Bucket Policy來決定賦予使用者多少權限來去操作資料。此外,我們也可以把S3 Bucket內的資料(objects)做加密的處理。

https://ithelp.ithome.com.tw/upload/images/20230918/20111554Sr8hEW7XDI.png

IAM Policy
IAM Policy比較像是針對使用者權限來進行管理。舉例來說,資料工程師在取得一組鑰匙後(access key, secret key),將根據這組鑰匙背後的IAM Policy,對某Bucket下的資料進行操作。例如被允許對產品A與產品B的資料改寫。

Bucket Policy
由資料源頭做管理,決定誰可以針對資料進行什麼方式的操作。
我們可利用JSON來編輯Bucket Policy,其中幾個欄位如下:

  • Resource:針對哪一個Bucket和Prefix下的資料
  • Effect:允許或禁止
  • Action:資料的取得、刪除或改寫等
  • Principal:針對誰所訂下的規則

例如,針對Bucket名為行銷部以及Prefix名為服飾的資料,允許使用者去做資料的取得(GET)。

Encryption
資料物件(object)的加密一共有四種機制。三種屬於server side(在aws上搞定),一種屬於client side(在自己的機器上搞定)。

  • SSE-S3:S3預設好的Key和加解密的服務。
  • SSE-KMS:AWS KMS服務幫你產Key,並做好加密解密的流程。相較於SSE-S3,有上傳與下載資料的流量限制。(因為每次上傳或下載資料,都需要透過KMS API去加密或者解密,API服務有流量上的限制)
  • SSE-C:你自己產Key,並由AWS幫你做加解密的流程。
  • Client Side Encryption: 你自己產Key,也自己做加密和解密的動作。

上一篇
Day 2 第一站 Data Engineering - S3
下一篇
Day 4 第一站 Data Engineering - Kinesis
系列文
夥伴們!一起航向AWS Certified Machine Learning Specialty的偉大航道吧!30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言