AWS ออกฟีเจอร์ใหม่บน S3 เพื่อเพิ่มความสามารถด้านความมั่นคงปลอดภัย จำนวน 5 รายการ คือ Default Encryption, Permission Check, Cross-Region Replication ACL Overwrite, Cross-Region Replication with KMS และ Detailed Inventory Report ซึ่งมีรายละเอียดดังนี้
Default Encryption
ก่อนหน้านี้เรามีทางเลือกในการเข้ารหัสฝั่งเซิร์ฟเวอร์ได้ 3 ทางคือ 1. จัดการ
Keys โดย S3 2. จัดการ
Keys โดย AWS KMS 3.จัดการ Keys โดยผู้ใช้งานเอง แต่เนื่องด้วยข้อบังคับขององค์กรกำหนดให้ต้องเข้ารหัสทุก Object ใน
Bucket ดังนั้นฟีเจอร์การปฏิเสธ Object ที่ไม่เข้ารหัสไม่แก้ปัญหา AWS จึงออกฟีเจอร์ใหม่ที่สามารถบังคับให้ Object ที่อยู่ใน Bucket ถูกเข้ารหัสเมื่อมีการนำ Object เข้ามา อย่างไรก็ตามมีข้อกำหนดการใช้งานดังนี้
- การใช้งาน Bucket Policy ผ่าน S3 REST API ต้องใช้งาน Sig4 ซึ่งเป็นกระบวนการเพิ่มข้อมูลเพื่อพิสูจน์ตัวตนกับ AWS และทำบน SSL เท่านั้น
- ผู้ใช้งานต้องคิดให้ดีก่อนเปลี่ยนแปลงแก้ไข Bucket Policy ที่ปัจจุบันมีการเปิดฟังก์ชันปฏิเสธ Object ที่ไม่เข้ารหัส
- ถ้าผู้ใช้งานซึ่งปัจจุบันมีการใช้งาน SSE-KMS ที่มีการอัพโหลด Object หลักร้อยถึงหลักพันต่อวินาที อาจจะติดข้อจำกัดของ KMS ได้ ควรเปิดเคส Support กับ AWS เพื่อขยายขีดจำกัด
- Object ที่ไม่ถูกเข้ารหัสเมื่อถูกย้ายมาใน Bucket ที่มีการเซ็ต Default Encryption จะถูกเข้ารหัสตาม
Permission Check
ก่อนหน้านี้ AWS ได้ออกฟังก์ชันเพื่อการตรวจสอบสิทธิ์ใน ACL การใช้งานแล้วเพราะว่ามีการกำหนด ACL หลายระดับเพื่อให้แน่ใจว่า Object จะสามารถเข้าถึงได้ ตอนนี้มีฟีเจอร์ใหม่ออกมาคือจะมีการแจ้งเตือนเมื่อมีการเปลี่ยนแปลง Policy และ ACL บน Bucket ว่าจะมีผลกระทบอย่างไรบ้าง
Cross-Region Replication ACL Overwrite
ปกติแล้วผู้ใช้งาน AWS จะใช้งาน Replicate ข้อมูลข้าม Region โดยใช้บัญชีต้นทางและปลายทางเป็นคนละบัญชีกันทำให้ต้องมีการจัดการ ACL และ Tag ที่เชื่อมโยงกับแต่ละ Object อีกครั้งหนึ่ง แต่ตอนนี้ด้วยฟีเจอร์ใหม่นี้สามารถอนุญาติให้ผู้ใช้งานทดแทน ACL อีกฝั่งได้ไม่ต้องมาจัดการ ACL ให้ยุ่งยากเหมือนที่เคยเป็น
Cross-Region Replication with KMS
การ Replicate Object ที่ถูกเข้ารหัสแบบเดิมไม่สามารถทำได้โดยตรงเพราะมี KMS Keys คนละอันกัน ดังนั้นตอนนี้ AWS ออกฟีเจอร์ใหม่ที่สามารถเลือกให้ใช้ KMS Keys ปลายทางเป็นอันเดียวกันต้นทางได้ อย่างไรก็ตามหากต้องการใช้งานหนักๆ ต้องแจ้งทาง AWS เสียก่อนเพื่อเพิ่มขีดจำกัดของ KMS Keys
Detailed Inventory Report
การออกรายงานของ S3 เพิ่มการแสดงสถานะของการเข้ารหัสแต่ละ
Object และสามารถทำได้เป็นรายวันหรือรายสัปดาห์ก็ได้