Amazon S3加入更多安全与存取控制功能

AWS在其储存服务S3加入了更多安全与存取控制功能，包括物件所有权、储存桶所有者条件，还有现在用户可以利用储存点（Access Points），存取S3的复制API，目前这3个功能已经在所有AWS地区开放。

物件所有权新功能让使用者，可以确保储存桶中新创建的物件，具有与储存桶相同的所有权，AWS提到，S3可以让多个AWS账户，将物件上传到同一个储存桶中，每个账户拥有物件的所有权以及控制权，这种多对一的上传模型，在把S3当做资料湖和其他类型资料储存库的用例非常方便，使内外部的团队都可以集中贡献资料。不过，在多对一上传模型中，上传到储存桶的物件，归上传的账户所有，储存桶拥有者无法控制储存桶中的物件，也无法使用储存桶政策来共享物件，造成管理上的不便。

为了解决这个问题，AWS加入新的物件所有权功能，储存桶拥有者将可以配置强制物件所有权，归储存桶拥有者所有。AWS强调，这个功能不会改变现有物件的权限，在部分情况下，使用者拥有的S3物件会变多，在用户报告与指标中的数字可能出现变化，AWS CloudFormation对物件所有权的支援则还在开发当中。

而储存桶所有者条件，则可以在创建新物件或是执行其他S3操作时，确认储存桶的所有权，协助使用者正确写入目标储存桶。AWS表示，由于大多数的S3操作，都是从特定的S3储存桶，进行读取或是写入，在执行操作时，使用者在请求中加入名称，指定要使用的储存桶，由于在S3中，是根据名称来辨识储存桶，当应用程序使用错误的储存桶名称，可能会出现意料之外的互动操作。

为了避免这种情况，使用者可以使用所有者条件，先验证目标储存桶的所有权，是否为预期的AWS账户拥有，只要使用参数或是标头，将AWS账户ID传递给S3储存桶或是物件API，就能进行验证，当所有者账户配对错误，则系统回传403错误代码。

另外，AWS也强化了S3储存点的功能。在S3中，使用者可以利用储存点，以高精细度的控制，存取共享的资料集，而不用麻烦地管理储存桶上复杂的政策，使用者可以为每一个应用程序创建储存点，并且使用IAM政策监控透过储存点到S3的操作。

在新的存取功能中，AWS让使用者使用唯一识别AWS资源（ARN）而非储存桶名称，结合S3储存点与物件复制API，方便地储存S3储存桶中的物件。