Amazon Web Services (AWS), Amazon S3 genel amaçlı klasörler için hesap bölgesel ad alanlarını kullanıma sundu. Bu, müşterilerin her hesap ve bölge için ayrılmış bir ad alanında paket adları oluşturmasına olanak tanır; daha önce geçerli olan küresel benzersiz adlandırma isteğe bağlı hale gelir. Bu özellik, Frankfurt eu-central-1 Bölgesi de dahil olmak üzere 12 Mart 2026 itibarıyla 37 AWS Bölgesinde kullanıma sunulmuştur.
Duyurudan sonra devamını okuyun
AWS'nin blogunda açıkladığı gibi, yeni klasör adları bu modeli takip ediyor <prefix>-<account-id>-<region>-an. Bir örnek: mybucket-123456789012-us-east-1-an. Hesap kimliği, bölge ve kısaltma son eki an paket adında izin verilen maksimum 63 karakterlik sınıra göre sayılır, dolayısıyla kullanılabilir önekin uzunluğu bölgeye göre değişir. Yalnızca ilgili hesap sahibi kendi son ekine sahip paketler oluşturabilir; diğer hesaplar da buna karşılık gelen bir hata alır.
AWS böylece merkezi bir sorunu çözüyor: kovalamaca (aynı zamanda kovalamaca) adı verilen sorun. Saldırganlar, trafiği engellemek veya hizmetleri kesintiye uğratmak için silinmiş veya tahmin edilebilir küresel paket adlarını kaydeder. Çünkü birçok kuruluş aşağıdaki gibi öngörülebilir adlandırma kurallarına sahiptir: myapp-us-east-1 şu ana kadar risk yüksekti. Yeni özellik, adların yalnızca hesaba ayrılması nedeniyle bunu yeni paketler için tamamen önler.
IAM ve SCP politikaları aracılığıyla uygulama
AWS yeni bir durum anahtarı sağlıyor s3:x-amz-bucket-namespace Bu, yöneticilerin IAM politikası veya hizmet kontrol politikası (SCP) aracılığıyla hesap bölgesel ad alanlarının kullanımını zorunlu kılmasına olanak tanır. AWS Kuruluşlarındaki çoklu hesap yapılandırmalarında, kuruluş düzeyinde yalnızca hesaba özel klasör adlarının oluşturulmasını sağlayabilirsiniz. AWS, iyi bir neden olmadığı sürece tüm yeni klasörler için varsayılan olarak yeni ad alanlarının kullanılmasını önerir.
IaC oluşturma ve destek
AWS Management Console'da, bir klasör yapılandırılırken doğrudan ad alanı seçeneği olarak “Hesap Bölgesel Ad Alanı” seçilebilir. AWS CLI'yi kullanarak yeni ad alanında aşağıdaki gibi bir klasör oluşturursunuz: aws s3api create-bucket --bucket mybucket-123456789012-us-east-1-an --bucket-namespace account-regional --region us-east-1. AWS, Python geliştiricileri için blogda STS aracılığıyla dinamik ad oluşturma özelliğine sahip bir Boto3 örneği sunuyor. CloudFormation zaten parametrelerle işlevi destekliyor BucketNamespace VE BucketNamePrefix. Ancak Terraform desteği hala devam ediyor: İlgili bir sayı 12 Mart 2026'da GitHub'da açıldı.
Duyurudan sonra devamını okuyun
Mevcut S3 kovaları bu yenilikten etkilenmez. Mevcut paketler yeniden adlandırılamaz; Geçiş yapmak istiyorsanız bölgesel ad alanında yeni paketler oluşturmanız ve verileri aktarmanız gerekir. aws s3 sync iletilen. Tüm S3 özellikleri ve API'leri yeni ad alanlarıyla tamamen uyumludur; AWS'ye göre mevcut uygulamalarda herhangi bir değişiklik yapılmasına gerek yoktur. Hesabınızın bölgesel ad alanlarını kullanmak için ek bir ücret alınmaz.
Şu anda mevcut olmayan bölgeler yalnızca Orta Doğu (Bahreyn) ve Orta Doğu'dur (Birleşik Arap Emirlikleri). Amazon'un S3 nesne depolaması kısa süre önce 20. yılını kutladı: Yeni ad alanları artık hizmet adlandırma kavramında yıllardır bilinen bir güvenlik açığını kapatıyor.
(fo)
Bir yanıt yazın