Quản lý Truy cập Dữ liệu với Điểm Truy cập Amazon S3

Amazon S3 Access Points là một tính năng mạnh mẽ giúp đơn giản hóa cách mà các tổ chức kiểm soát và quản lý quyền truy cập vào dữ liệu của họ. Thay vì chỉ dựa vào các chính sách bucket phức tạp, Access Points cho phép bạn tạo ra các điểm truy cập chuyên dụng với quyền hạn được tùy chỉnh. Điều này cung cấp nhiều tính linh hoạt hơn, đặc biệt là khi làm việc với các nhóm, ứng dụng hoặc VPC yêu cầu các mức độ truy cập khác nhau.

Trong thế giới ngày nay, nơi mà việc xử lý dữ liệu an toàn và hiệu quả là rất quan trọng, việc thành thạo S3 Access Points sẽ giúp bạn nổi bật như một người không chỉ hiểu về lưu trữ, mà còn về quản trị và kiểm soát quyền truy cập trong đám mây.

Mục tiêu của Bài viết

Trong bài viết này, chúng ta sẽ khám phá:

• Tạo một bucket S3 cho dữ liệu nhạy cảm
• Cấu hình một Điểm Truy cập S3 liên kết với VPC
• Kiểm tra quyền truy cập từ cả VPC được phép và VPC mặc định sử dụng AWS Lambda
• Hiểu cách mà các kiểm soát này thực thi bảo mật cấp mạng

Cuối cùng, bạn sẽ có kinh nghiệm thực hành với S3 Access Points và kỹ năng để thiết kế các mẫu truy cập dữ liệu an toàn cho các ứng dụng đám mây trong thế giới thực.

Bước 1: Tạo một Bucket S3

Bước đầu tiên là tạo một bucket Amazon S3 sẽ đóng vai trò là vị trí lưu trữ chính cho các tài liệu nhạy cảm. Chúng ta sẽ sử dụng S3 Access Points để kiểm soát cách thức dữ liệu này được truy cập và xử lý.

Tạo Bucket S3

1. Đăng nhập vào AWS Management Console và tìm kiếm S3.
2. Chọn dịch vụ S3 từ kết quả.
3. Nhấp vào Tạo bucket.
4. Nhập tên duy nhất toàn cầu theo định dạng: s3-bucket-<random_text>.
5. Thay thế <random_text> bằng bất kỳ chuỗi nào để đảm bảo tính duy nhất trong các tài khoản AWS.
6. Trong cài đặt Chặn Truy cập Công khai, đảm bảo rằng Chặn tất cả truy cập công khai được chọn.
7. Cuộn xuống và nhấp vào Tạo bucket để hoàn tất.

Tại thời điểm này, bucket S3 của bạn đã sẵn sàng để lưu trữ an toàn các tài liệu.

Tải Tài liệu Lên

1. Tạo một tập tin văn bản đơn giản có tên sampledata.txt trên máy tính của bạn (ví dụ, với nội dung như "Đây là dữ liệu nhạy cảm của tổ chức.").
2. Trong Bảng điều khiển S3, chọn bucket vừa tạo (s3-bucket-<random_text>).
3. Nhấp vào Tải lên → Thêm tệp, và chọn tập tin sampledata.txt.
4. Nhấp vào Tải lên để hoàn tất quá trình.

Kết quả: Bạn đã có một bucket S3 an toàn với một tệp nhạy cảm, sẵn sàng để được truy cập và kiểm soát bằng cách sử dụng Amazon S3 Access Points.

Bước 2: Tạo Điểm Truy cập Liên kết VPC

Amazon S3 Access Points giúp dễ dàng định nghĩa các quyền chi tiết, đảm bảo rằng các ứng dụng, người dùng hoặc vai trò cụ thể chỉ nhận được quyền truy cập mà họ cần. Điều này đặc biệt hữu ích trong các môi trường mà nhiều nhóm hoặc dịch vụ chia sẻ cùng một tập dữ liệu.

Trong bước này, chúng ta sẽ tạo một Điểm Truy cập S3 liên kết với một VPC cụ thể. Điều này đảm bảo rằng dữ liệu nhạy cảm được lưu trữ trong bucket của chúng ta chỉ có thể truy cập thông qua VPC đó.

Bước 2.1: Tạo VPC

1. Trong AWS Management Console, tìm kiếm VPC và mở dịch vụ.
2. Từ menu bên trái, chọn VPC của bạn → Tạo VPC.
3. Trong phần Tài nguyên để tạo, chọn VPC và nhiều hơn nữa.
4. Trong trường Tự động tạo thẻ tên, thay thế giá trị mặc định bằng org.
5. Cấu hình như sau:
   • Số lượng subnets công cộng → 0
   • Số lượng subnets riêng tư → 2
   • Điểm cuối VPC → Chọn S3 Gateway
6. Nhấp vào Tạo VPC.
7. Khi đã được tạo, nhấp vào Xem VPC và sao chép ID VPC để sử dụng sau.

Bước 2.2: Tạo Điểm Truy cập

1. Mở dịch vụ S3 trong AWS Console.
2. Từ menu bên trái, chọn Điểm truy cập cho các bucket thông dụng.
3. Nhấp vào Tạo điểm truy cập.
4. Đặt tên cho điểm truy cập: vpc-bound-access-point.
5. Dưới Tên bucket, chọn bucket S3 đã tạo trước đó.
6. Dưới Nguồn mạng, chọn Mạng riêng ảo (VPC).
7. Dán ID VPC của org-vpc.
8. Đảm bảo rằng Chặn tất cả truy cập công khai được bật.
9. Thêm chính sách sau (thay thế <Account ID> bằng ID tài khoản AWS của bạn và <VPC ID> bằng ID bạn đã sao chép ở bước trước):

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:us-east-1:<Account ID>:accesspoint/vpc-bound-access-point/object/*",
      "Condition": {
        "StringEquals": {
          "aws:SourceVpc": "<VPC ID>"
        }
      }
    }
  ]
}

Nhấp vào Tạo điểm truy cập.

Kết quả: Điểm truy cập giờ đây đảm bảo rằng các đối tượng trong bucket chỉ có thể được truy xuất từ org-vpc.

Bước 3: Kiểm tra Điểm Truy cập Liên kết VPC

Để xác thực hành vi của chính sách, chúng ta sẽ tạo một hàm AWS Lambda. Đầu tiên, chúng ta sẽ triển khai nó trong org-vpc và xác nhận quyền truy cập. Sau đó, chúng ta sẽ chuyển nó đến VPC mặc định để đảm bảo quyền truy cập bị từ chối.

Lưu ý: Bước này giả định rằng bạn đã có một vai trò IAM cơ bản (ví dụ: LambdaExecutionRole) với quyền truy cập Lambda và S3. Bạn có thể cần tạo vai trò này trước nếu nó chưa tồn tại.

Bước 3.1: Tạo Hàm Lambda trong org-vpc

1. Trong AWS Console, tìm kiếm Lambda.

2. Đi đến Chức năng → Tạo chức năng → Tác giả từ đầu.

3. Cấu hình:

   • Tên chức năng: accesspoint_function
   • Runtime: Python 3.11
   • Vai trò thực thi: Sử dụng vai trò hiện có → LambdaExecutionRole

4. Mở rộng Cài đặt nâng cao → Bật VPC → Chọn:

   • VPC: org-vpc
   • Subnets: Chọn hai subnet riêng tư (ví dụ: org-subnet-private1-us-east-1a, org-subnet-private2-us-east-1b)
   • Nhóm bảo mật: Mặc định

5. Nhấp vào Tạo chức năng.

Bước 3.2: Thêm Mã Lambda

Thay thế mã mặc định trong trình chỉnh sửa hàm Lambda bằng mã Python sau.

(Nhớ thay thế <Account ID> bằng ID tài khoản AWS thực tế của bạn.)

import boto3
from botocore.client import Config

# Khởi tạo client S3
s3 = boto3.client('s3', config=Config(signature_version='s3v4'))

def getObject(bucket, key):
    response = s3.get_object(Bucket=bucket, Key=key)
    data = response['Body'].read().decode('utf-8')
    print(data)
    return data

def lambda_handler(event, context):
    return getObject(
        "arn:aws:s3:us-east-1:<Account ID>:accesspoint/vpc-bound-access-point",
        "sampledata.txt"
    )

Bước 3.3: Kiểm tra từ org-vpc

1. Nhấp vào Triển khai để lưu các thay đổi mã của bạn.
2. Nhấp vào Kiểm tra để cấu hình một sự kiện kiểm tra. Sử dụng mẫu mặc định "Hello World" và đặt tên cho nó.
3. Nhấp vào Kiểm tra để chạy hàm.

Kết quả: Việc thực thi sẽ thành công. Nội dung tệp sẽ xuất hiện trong nhật ký của hàm vì hàm Lambda chạy trong VPC được phép.

Bước 3.4: Kiểm tra từ VPC Mặc định

1. Trong hàm Lambda, đi đến tab Cấu hình và chọn phần VPC.
2. Nhấp vào Chỉnh sửa.
3. Chuyển VPC sang VPC mặc định và chọn hai trong số các subnet của nó.
4. Chọn nhóm bảo mật mặc định.
5. Nhấp vào Lưu.
6. Chờ cho các thay đổi mạng có hiệu lực, sau đó nhấp vào Kiểm tra một lần nữa để chạy hàm.

Kết quả: Việc thực thi hàm giờ đây sẽ thất bại với lỗi như AccessDenied hoặc 403 Forbidden. Không có dữ liệu nào được truy xuất vì chính sách Điểm truy cập đã hạn chế quyền truy cập chỉ ở org-vpc.

Kết luận

Amazon S3 Access Points cung cấp một cơ chế mạnh mẽ để thực hiện kiểm soát quyền truy cập chi tiết vào dữ liệu S3 của bạn. Bằng cách liên kết các điểm truy cập với các VPC cụ thể, bạn có thể thực thi bảo mật cấp mạng bổ sung cho các chính sách IAM truyền thống. Cách tiếp cận này đặc biệt có giá trị trong các môi trường đa người thuê, các tình huống tuân thủ, hoặc khi bạn cần tách biệt quyền truy cập dữ liệu cho các phân đoạn mạng cụ thể.

Bài thực hành này đã chứng minh cách:

• Tạo một bucket S3 an toàn với dữ liệu nhạy cảm.
• Cấu hình một điểm truy cập liên kết VPC với các chính sách phù hợp.
• Kiểm tra các mẫu truy cập từ cả mạng được phép và bị hạn chế.

Kiến thức này sẽ giúp bạn thiết kế các mẫu truy cập dữ liệu an toàn và dễ quản lý hơn trong các môi trường AWS của bạn, đảm bảo rằng dữ liệu nhạy cảm của bạn vẫn được bảo vệ trong khi vẫn có thể truy cập từ các dịch vụ và ứng dụng được ủy quyền.