Giờ đây, bạn có khả năng vô hiệu hoá tính năng chia sẻ công khai của các snapshots mới và tùy chọn hiện có của Amazon Elastic Block Store (Amazon EBS) trên từng region, từng tài khoản. Điều này cung cấp cho bạn một mức độ bảo vệ, chống rò rỉ dữ liệu do vô tình hoặc vô ý.

Review về EBS snapshots

Bạn có quyền tạo EBS snapshot kể từ khi ra mắt EBS vào năm 2008 và có thể chia sẻ chúng một cách riêng tư hoặc công khai kể từ năm 2009. Phần lớn các snapshot được đặt ở chế độ riêng tư và được sử dụng để sao lưu định kỳ, di chuyển dữ liệu và xử lý thảm họa. Các nhà cung cấp phần mềm sử dụng public snapshot để chia sẻ cho phần mềm dùng thử hoặc kiểm thử dữ liệu.

Chặn chia sẻ công khai

Theo mặc định, EBS snapshot  luôn đặt ở chế độ riêng tư, với tùy chọn đặt các snapshot riêng lẻ ở chế độ công khai nếu cần. Nếu hiện tại bạn không sử dụng và không có ý định sử dụng public snapshot thì giờ đây bạn có thể tắt tính năng chia sẻ công khai bằng AWS console, Giao diện dòng lệnh AWS (AWS CLI) hoặc chức năng EnableSnapshotBlockPublicAccess mới. Sử dụng AWS console, truy cập vào EC2 dashboard và nhấp vào Data protection and security trong Account attributes box:

Sau đó, kéo xuống phần Block public access for EBS snapshots, xem lại trạng thái hiện tại và nhấp vào Manage:

Nhấp vào Block public access, chọn Block all public sharing và nhấp vào Update:

Đây là cài đặt theo region và sẽ có hiệu lực trong vòng vài phút. Bạn có thể xem trạng thái được cập nhật trong bảng điều khiển:

Kiểm tra một trong những snapshot của bạn và thấy rằng bạn không thể chia sẻ nó một cách công khai:

Như bạn có thể thấy, tôi vẫn có khả năng chia sẻ snapshot  với các tài khoản AWS cụ thể.

Nếu bạn đã chọn Block all public sharing thì tất cả các snapshot mà tôi đã chia sẻ trước đó sẽ không còn được liệt kê khi một khách hàng AWS khác gọi đến DescriptionSnapshots để tìm kiếm các snapshot có thể truy cập công khai.

Những điều cần biết

Dưới đây là một số điều thực sự quan trọng cần biết về tính năng mới này:

Region-Level – Đây là cài đặt ở từng region và phải được áp dụng ở từng region, nơi bạn muốn chặn khả năng chia sẻ snapshot công khai.

API Functions & IAM Permissions – Ngoài EnableSnapshotBlockPublicAccess, các chức năng khác để quản lý tính năng này bao gồm DisableSnapshotBlockPublicAccess và GetSnapshotBlockPublicAccessState. Để sử dụng các chức năng này (hoặc các chức năng tương đương với console/CLI của chúng), bạn phải có IAM permission: ec2:EnableSnapshotBlockPublicAccess, ec2:DisableSnapshotBlockPublicAccess và ec2:GetSnapshotBlockPublicAccessState.

AMI – Điều này không ảnh hưởng đến khả năng chia sẻ công khai Amazon Machine Images (AMIs). Để tìm hiểu cách quản lý việc chia sẻ công khai AMI, hãy truy cập Block public access to your AMIs..