Bewährte Methoden für die Sicherheit in Amazon S3

S3 Object Ownership ist eine Amazon-S3-Einstellung auf Bucket-Ebene, mit der Sie die Eigentümerschaft von den Objekten steuern können, die in Ihre Buckets hochgeladen werden, und ACLs deaktivieren oder aktivieren können. Standardmäßig ist Object Ownership auf die Einstellung „Bucket-Eigentümer erzwungen“ festgelegt und alle ACLs sind deaktiviert. Wenn ACLs deaktiviert sind, besitzt der Bucket-Eigentümer alle Objekte im Bucket und verwaltet den Datenzugriff ausschließlich mithilfe von Zugriffsverwaltungsrichtlinien.

Die meisten modernen Anwendungsfälle in Amazon S3 erfordern keine Zugriffssteuerungslisten (ACLs) mehr. Wir empfehlen Ihnen, ACLs zu deaktivieren, außer unter ungewöhnlichen Umständen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Sie können die Einstellung „Bucket owner enforced“ (Bucket-Eigentümer erzwungen) für S3 Object Ownership anwenden, um ACLs zu deaktivieren und und das Eigentum an jedem Objekt in Ihrem Bucket zu übernehmen. Wenn Sie ACLs deaktivieren, können Sie einfach einen Bucket mit Objekten verwalten, die von verschiedenen AWS-Konten hochgeladen wurden.

Wenn ACLs deaktiviert sind, basiert die Zugriffskontrolle für Ihre Daten auf Richtlinien, wie die folgenden:

Durch Deaktivieren von ACLs werden Berechtigungsverwaltung und Auditing vereinfacht. ACLs sind für neu erstellte Buckets standardmäßig deaktiviert. Sie können ACLs auch für vorhandene Buckets deaktivieren. Wenn Sie einen vorhandenen Bucket haben, der bereits Objekte enthält, sind die Objekt- und Bucket-ACLs nach dem Deaktivieren von ACLs nicht mehr Teil des Zugriffsbewertungsprozesses. Stattdessen wird der Zugriff auf der Grundlage von Richtlinien gewährt oder verweigert.

Bevor Sie ACLs deaktivieren, müssen Sie folgende Schritte ausführen:

Nachdem Sie ACLs deaktiviert haben, gilt Folgendes:

Weitere Informationen finden Sie unter Weitere Informationen finden Sie unter Steuern des Eigentums an Objekten und Deaktivieren von ACLs für Ihren Bucket..

Sofern es nicht unbedingt notwendig ist, dass jemand Ihren S3-Bucket im Internet lesen oder darin schreiben kann, stellen Sie sicher, dass der S3-Bucket nicht öffentlich ist. Im Folgenden werden einige Maßnahmen zum Blockieren des öffentlichen Zugriffs aufgeführt:

Weitere Informationen finden Sie unter Identitäts- und Zugriffsverwaltung für Amazon S3.

Bei der Vergabe von Berechtigungen entscheiden Sie, wer welche Berechtigungen für welche Amazon-S3-Ressourcen erhält. Sie aktivieren die spezifischen Aktionen, die daraufhin für die betreffenden Ressourcen erlaubt sein sollen. Aus diesem Grund sollten Sie nur Berechtigungen gewähren, die zum Ausführen einer Aufgabe erforderlich sind. Die Implementierung der geringstmöglichen Zugriffsrechte ist eine grundlegende Voraussetzung zum Reduzieren des Sicherheitsrisikos und der Auswirkungen, die aufgrund von Fehlern oder böswilligen Absichten entstehen könnten.

Die folgenden Tools stehen zur Implementierung der geringstmöglichen Zugriffsrechte zur Verfügung:

Hilfreiche Informationen zur Entscheidung, welche der vorherigen Mechanismen Sie auswählen sollten, finden Sie unter Identitäts- und Zugriffsverwaltung für Amazon S3.

Damit Anwendungen in Amazon EC2 oder anderen AWS-Services auf Amazon-S3-Ressourcen zugreifen können, müssen sie in ihren AWS-API-Anfragen gültige AWS-Anmeldeinformationen enthalten. Es wird empfohlen, AWS-Anmeldeinformationen nicht direkt in der Anwendung oder einer Amazon-EC2-Instance zu speichern. Dabei handelt es sich um langfristige Anmeldeinformationen, die nicht automatisch rotiert werden und bedeutende geschäftliche Auswirkungen haben könnten, wenn sie kompromittiert werden.

Verwalten Sie stattdessen mithilfe einer IAM-Rolle temporäre Anmeldeinformationen für Anwendungen und Services, die Zugriff auf Amazon S3 benötigen. Wenn Sie eine Rolle verwenden, müssen Sie keine langfristigen Anmeldeinformationen (wie einen Benutzernamen und ein Passwort oder Zugriffsschlüssel) an eine Amazon-EC2-Instance oder einen AWS-Service wie AWS Lambda verteilen. Stattdessen stellt die Rolle temporäre Berechtigungen bereit, die von den Anwendungen beim Aufrufen von anderen AWS-Ressourcen genutzt werden können.

Weitere Informationen finden Sie unter folgenden Themen im IAM-Benutzerhandbuch:

Es gibt die folgenden Optionen, Daten im Ruhezustand in Amazon S3 zu schützen:

Mithilfe von HTTPS (TLS) kann das Abhören oder eine Manipulation des Netzwerkverkehrs durch Person-in-the-Middle-Angriffe oder ähnliche Angriffe verhindert werden. Es wird empfohlen, nur verschlüsselte Verbindungen über HTTPS (TLS) unter Verwendung der Bedingung aws:SecureTransport in Ihren Amazon-S3-Bucket-Richtlinien zu erlauben.

Erwägen Sie außerdem die Implementierung fortlaufender Erkennungskontrollen mithilfe der verwalteten AWS Config-Regel s3-bucket-ssl-requests-only.

Mit der S3-Objektsperre können Sie Objekte anhand des Modells „Write Once Read Many“ (WORM) speichern. Die S3-Objektsperre kann unbeabsichtigtes oder unsachgemäßes Löschen von Daten verhindern. Beispielsweise könnten Sie die S3-Objektsperre verwenden, um Ihre AWS CloudTrail-Protokolle zu schützen.

Weitere Informationen finden Sie unter Sperren von Objekten mit Object Lock.

Die S3-Versionsverwaltung ermöglicht Ihnen, mehrere Versionen eines Objekts im selben Bucket aufzubewahren. Sie können Versioning verwenden, um sämtliche Versionen aller Objekte in Ihrem Bucket zu speichern, abzurufen oder wiederherzustellen. Daten lassen sich dank Versioning nach unbeabsichtigten Benutzeraktionen und Anwendungsfehlern leicht wiederherstellen.

Erwägen Sie außerdem die Implementierung fortlaufender Erkennungskontrollen mithilfe der verwalteten AWS Config-Regel s3-bucket-versioning-enabled.

Weitere Informationen finden Sie unter Beibehalten mehrerer Versionen von Objekten mit der S3-Versionsverwaltung.

Auch wenn Amazon S3 Ihre Daten standardmäßig in mehreren entfernten Availability Zones speichert, machen es die Compliance-Anforderungen möglicherweise erforderlich, Daten in noch größeren Entfernungen zu speichern. Die regionsübergreifende Replikation (CRR) von S3 ermöglicht es, Daten zwischen entfernten AWS-Regionen zu replizieren, um diese Anforderungen zu erfüllen. CRR ermöglicht automatisches, asynchrones Kopieren von Objekten in den Buckets verschiedener AWS-Regionen. Weitere Informationen finden Sie unter Replizieren von Objekten innerhalb und zwischen Regionen.

Erwägen Sie außerdem die Implementierung fortlaufender Erkennungskontrollen mithilfe der verwalteten AWS Config-Regel s3-bucket-replication-enabled.

Ein Virtual Private Cloud (VPC)-Endpunkt für Amazon S3 ist eine logische Einheit innerhalb einer VPC, die nur Konnektivität mit Amazon S3 ermöglicht. VPC-Endpunkte können dazu beitragen, zu verhindern, dass Datenverkehr durch das offene Internet gelangt.

VPC-Endpunkte für Amazon S3 bieten mehrere Möglichkeiten, den Zugriff auf Ihre Amazon-S3-Daten zu steuern:

Weitere Informationen finden Sie unter Steuern des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien.

Verschiedene verwaltete AWS-Sicherheitsservices können Ihnen helfen, Sicherheits- und Compliance-Risiken für Ihre Amazon-S3-Daten zu identifizieren, zu bewerten und zu überwachen. Diese Services können Ihnen auch dabei helfen, Ihre Daten vor diesen Risiken zu schützen. Diese Services umfassen automatische Erkennungs-, Überwachungs- und Schutzfunktionen, die so konzipiert sind, dass sie von Amazon-S3-Ressourcen für ein einzelnes AWS-Konto zu Ressourcen für Organisationen mit Tausenden von Konten skaliert werden können.

Weitere Informationen finden Sie unter Überwachung der Datensicherheit mit verwalteten AWS-Sicherheitsservices.

Die Identifikation Ihrer IT-Assets ist ein wichtiger Aspekt von Governance und Sicherheit. Es ist erforderlich, dass Sie alle Ihre Amazon-S3-Ressourcen überblicken, um ihren Sicherheitsstatus beurteilen und Maßnahmen gegen potenzielle Schwachstellen ergreifen zu können. Zum Prüfen Ihrer Ressourcen empfehlen wir Folgendes:

Die Überwachung ist ein wichtiger Teil der Aufrechterhaltung der Zuverlässigkeit, Sicherheit, Verfügbarkeit und Leistung von Amazon S3 und Ihrer AWS-Lösungen. AWS bietet verschiedene Tools und Services, die Sie bei der Überwachung von Amazon S3 und Ihrer anderen AWS-Services unterstützen. Sie können beispielsweise Amazon-CloudWatch-Metriken für Amazon S3 überwachen, insbesondere PutRequests, GetRequests, 4xxErrors und DeleteRequests. Weitere Informationen erhalten Sie unter Überwachen von Metriken mit Amazon CloudWatch und Protokollierung und Überwachung in Amazon S3.

Ein zweites Beispiel finden Sie unter Beispiel: Amazon-S3-Bucket-Aktivität. In diesem Beispiel wird beschrieben, wie Sie einen CloudWatch-Alarm erstellen, der ausgelöst wird, wenn ein Amazon-S3-API-Aufruf für eine PUT- oder DELETE-Bucket-Richtlinie, einen Bucket-Lebenszyklus, eine Bucket-Replikation oder für PUT für eine Bucket-ACL ausgeführt wird.

Die Server-Zugriffsprotokollierung bietet detaillierte Aufzeichnungen über die Anfragen, die an einen Bucket gestellt wurden. Server-Zugriffsprotokolle können Sie bei Sicherheits- und Zugriffsprüfungen unterstützen; sie geben Informationen über Ihren Kundenstamm und helfen beim Verständnis der Amazon-S3-Rechnung. Weitere Informationen zur Aktivierung der Server-Zugriffsprotokollierung finden Sie unter Protokollieren von Anfragen mit Server-Zugriffsprotokollierung.

Erwägen Sie außerdem die Implementierung fortlaufender Erkennungskontrollen mithilfe der verwalteten AWS Config-Regel s3-bucket-logging-enabled.

AWS CloudTrail liefert Aufzeichnungen der Aktionen eines Benutzers, einer Rolle oder eines AWS-Service in Amazon S3. Sie können die von CloudTrail gesammelten Informationen verwenden, um Folgendes zu ermitteln:

Sie können beispielsweise CloudTrail-Einträge für PUT-Aktionen identifizieren, die sich auf den Datenzugriff auswirken, insbesondere PutBucketAcl, PutObjectAcl, PutBucketPolicy und PutBucketWebsite.

Wenn Sie Ihr AWS-Konto einrichten, ist CloudTrail standardmäßig aktiviert. Sie können aktuelle Ereignisse in der CloudTrail-Konsole anzeigen. Um eine laufende Aufzeichnung von Aktivitäten und Ereignissen für Ihre Amazon-S3-Buckets zu erstellen, können Sie einen Pfad (Trail) in der CloudTrail-Konsole erstellen. Weitere Informationen finden Sie unter Protokollieren von Datenereignissen im Benutzerhandbuch für AWS CloudTrail.

Wenn Sie einen Pfad erstellen, können Sie CloudTrail zum Protokollieren von Datenereignissen konfigurieren. Datenereignisse sind Datensätze von Ressourcen-Vorgänge, die auf oder innerhalb einer Ressource ausgeführt werden. In Amazon S3 zeichnen Datenereignisse API-Aktivitäten auf Objektebene für einzelne Buckets auf. CloudTrail unterstützt eine Teilmenge von API-Operationen auf Objektebene von Amazon S3 wie GetObject, DeleteObject und PutObject. Weitere Informationen darüber, wie CloudTrail mit Amazon S3 funktioniert, finden Sie unter Protokollieren von Amazon-S3-API-Aufrufen mit AWS CloudTrail. In der Amazon-S3-Konsole können Sie Ihre S3-Buckets auch dafür konfigurieren, Aktivieren der CloudTrail-Ereignisprotokollierung für S3-Buckets und -Objekte.

AWS Config Config stellt eine verwaltete Regel (cloudtrail-s3-dataevents-enabled) bereit, mit der Sie bestätigen können, dass mindestens ein CloudTrail-Pfad Datenereignisse für Ihre S3-Buckets protokolliert. Weitere Informationen finden Sie unter cloudtrail-s3-dataevents-enabled im AWS Config-Entwicklerhandbuch.

Einige der in diesem Thema aufgeführten bewährten Methoden schlagen vor, AWS Config-Regeln zu erstellen. AWS Config hilft Ihnen, die Konfigurationen Ihrer AWS-Ressourcen zu bewerten, zu prüfen und zu bewerten. AWS Config überwacht Ressourcenkonfigurationen, sodass Sie die aufgezeichneten Konfigurationen anhand der gewünschten sicheren Konfigurationen auswerten können. Mit AWS Config können Sie folgende Aktionen ausführen:

Mit AWS Config können Sie die Compliance-Prüfung, die Sicherheitsanalyse, das Änderungsmanagement und die Fehlerbehebung bei Betriebsabläufen vereinfachen. Weitere Informationen finden Sie unter Einrichten von AWS Config mit der Konsole im AWS Config-Entwicklerhandbuch. Wenn Sie die aufzuzeichnenden Ressourcentypen angeben, stellen Sie sicher, dass Sie Amazon-S3-Ressourcen mit einbeziehen.

Ein Beispiel zur Verwendung von AWS Config finden Sie unter How to Use AWS Config Config to Monitor for and Respond to Amazon S3 Buckets Allowing Public Access im Blog zur AWS-Sicherheit.

S3 Storage Lens ist eine Cloud-Speicheranalysefunktion, mit der Sie unternehmensweite Einblicke in die Nutzung und Aktivität von Objektspeichern erhalten können. S3 Storage Lens analysiert Metriken, um kontextbezogene Empfehlungen zur Optimierung der Speicherkosten und zur Anwendung bewährter Datenschutzmethoden zu geben.

Mit S3 Storage Lens können Sie Metriken verwenden, um zusammenfassende Erkenntnisse zu gewinnen und z. B. herauszufinden, wie viel Speicher Sie in Ihrer gesamten Organisation haben oder welche Buckets und Präfixe am schnellsten wachsen. Außerdem können Sie anhand der Metriken von S3 Storage Lens umfassende Möglichkeiten zur Kostenoptimierung aufdecken, bewährte Methoden für den Datenschutz und die Zugriffsverwaltung implementieren und die Leistung von Anwendungs-Workloads verbessern.

Sie können beispielsweise Buckets identifizieren, für die keine S3-Lebenszyklusregeln gelten, damit unvollständige mehrteilige Uploads, die älter als 7 Tage sind, abgebrochen werden. Sie können auch Buckets identifizieren, die nicht den bewährten Datenschutzmethoden entsprechen, z. B. die Verwendung von S3 Replication oder S3 Versionierung. Weitere Informationen finden Sie unter Grundlegendes zu Amazon S3 Storage Lens.

Wir raten Ihnen, die in Trusted Advisor für Ihr AWS-Konto geposteten Sicherheitsempfehlungen regelmäßig zu überprüfen. Achten Sie dabei besonders auf Warnungen zu Amazon-S3-Buckets mit „offenen Zugriffsberechtigungen“. Sie können diesen Schritt programmgesteuert durchführen, indem Sie describe-trusted-advisor-checks verwenden.

Überwachen Sie außerdem die primäre E-Mail-Adresse, mit der Ihre einzelnen AWS-Konten registriert sind. AWS sendet Nachrichten zu auftretenden Sicherheitsproblemen, die Sie betreffen könnten, an diese E-Mail-Adresse.

Operative AWS-Probleme mit weitreichenden Auswirkungen werden unter AWS Health Dashboard – Servicezustand gepostet. Operative Probleme werden über AWS Health Dashboard auch in den einzelnen Konten veröffentlicht. Weitere Informationen finden Sie in der AWS Health-Dokumentation.

Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und Workloads kontinuierlich auf bösartige Aktivitäten hin überwacht und detaillierte Sicherheitserkenntnisse liefert, um Transparenz und Abhilfe zu schaffen.

Mit der S3-Schutzfunktion in GuardDuty können Sie GuardDuty so konfigurieren, dass die Verwaltungs- und Datenereignisse von AWS CloudTrail für Ihre Amazon-S3-Ressourcen analysiert werden. GuardDuty überwacht diese Ereignisse dann auf bösartige und verdächtige Aktivitäten. Um die Analyse zu unterstützen und potenzielle Sicherheitsrisiken zu identifizieren, verwendet GuardDuty Feeds mit Bedrohungsinformationen und Machine Learning.

GuardDuty kann verschiedene Arten von Aktivitäten für Ihre Amazon-S3-Ressourcen überwachen. Zu den CloudTrail-Verwaltungsereignissen für Amazon S3 gehören beispielsweise Operationen auf Bucket-Ebene, wie ListBuckets, DeleteBucket und PutBucketReplication. Zu den CloudTrail-Datenereignissen für Amazon S3 gehören Operationen auf Objektebene wie GetObject, ListObjects und PutObject. Wenn GuardDuty ungewöhnliche oder potenziell bösartige Aktivitäten erkennt, generiert es eine Erkenntnis, um Sie zu benachrichtigen.

Weitere Informationen finden Sie unter Amazon-S3-Schutz in Amazon GuardDuty im Benutzerhandbuch für Amazon GuardDuty.

Amazon Detective vereinfacht den Ermittlungsprozess und hilft Ihnen, schnellere und effektivere Sicherheitsuntersuchungen durchzuführen. Detective bietet vordefinierte Datenaggregationen, Zusammenfassungen und Kontexte, mit denen Sie Art und Ausmaß möglicher Sicherheitsprobleme analysieren und bewerten können.

Detective extrahiert automatisch zeitbasierte Ereignisse wie API-Aufrufe von AWS CloudTrail und Amazon-VPC-Flow-Protokolle für Ihre AWS-Ressourcen. Es werden auch die von Amazon GuardDuty generierten Erkenntnisse aufgenommen. Detective verwendet dann Machine Learning, statistische Analysen und die Graphentheorie, um Visualisierungen zu erstellen, mit denen Sie effektive Sicherheitsuntersuchungen schneller durchführen können.

Diese Visualisierungen bieten eine einheitliche, interaktive Ansicht des Ressourcenverhaltens und der Interaktionen zwischen ihnen im Zeitverlauf. Sie können dieses Verhaltensdiagramm untersuchen, um potenziell bösartige Aktionen wie fehlgeschlagene Anmeldeversuche oder verdächtige API-Aufrufe zu untersuchen. Sie können auch sehen, wie sich diese Aktionen auf Ressourcen wie S3-Buckets und -Objekte auswirken.

Weitere Informationen finden Sie im Administratorhandbuch für Amazon Detective.

AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) unterstützt Sie bei der Identifizierung von Ressourcen, die mit einer externen Entität geteilt werden. Sie können IAM Access Analyzer auch verwenden, um IAM-Richtlinien anhand der Richtliniengrammatik und bewährten Methoden zu validieren und IAM-Richtlinien auf der Grundlage der Zugriffsaktivitäten in Ihren Protokollen von AWS CloudTrail zu generieren.

IAM Access Analyzer verwendet logisches Denken, um Ressourcenrichtlinien in Ihrer AWS-Umgebung zu analysieren, z. B. Bucket-Richtlinien. IAM Access Analyzer für S3 macht Sie darauf aufmerksam, wenn ein S3-Bucket so konfiguriert ist, dass jedem im Internet oder anderen AWS-Konten, einschließlich Konten außerhalb Ihrer Organisation, Zugriff gewährt wird. Beispielsweise könnte IAM Access Analyzer für S3 zeigen, dass ein Bucket über Lese- oder Schreibzugriff verfügt, der über eine Bucket-Zugriffssteuerungsliste (ACL), eine Bucket-Richtlinie, eine Richtlinie für Multi-Region Access Points oder eine Zugriffspunktrichtlinie bereitgestellt wird. Für jeden öffentlichen oder freigegebenen Bucket erhalten Sie Erkenntnisse, die die Quelle und die Ebene des öffentlichen oder freigegebenen Zugriffs angeben. Anhand dieser Erkenntnisse können Sie sofortige und präzise Korrekturmaßnahmen ergreifen, um den Bucket-Zugriff wie beabsichtigt wiederherzustellen.

Weitere Informationen finden Sie unter Überprüfen des Bucket-Zugriffs mit IAM Access Analyzer für S3.

Amazon Macie ist ein Sicherheitsservice, der sensible Daten mithilfe von Machine Learning und Musterabgleich erkennt. Macie bietet Einblick in Datensicherheitsrisiken und ermöglicht automatischen Schutz vor diesen Risiken. Mit Macie können Sie die Erkennung und Meldung sensibler Daten in Ihrem Amazon-S3-Datenbestand automatisieren, um die Daten besser zu verstehen, die Ihre Organisation in S3 speichert.

Um sensible Daten mit Macie zu erkennen, können Sie integrierte Kriterien und Techniken verwenden, die darauf ausgelegt sind, eine lange und wachsende Liste vertraulicher Datentypen für viele Länder und Regionen zu erkennen. Diese sensiblen Datentypen umfassen mehrere Arten von persönlich identifizierbaren Informationen (PII), Finanzdaten und Anmeldeinformationen. Sie können auch benutzerdefinierte Kriterien verwenden, die Sie definieren – reguläre Ausdrücke, die Textmuster zum Abgleichen definieren, und optional Zeichenfolgen und Näherungsregeln, um die Ergebnisse zu verfeinern.

Wenn Macie sensible Daten in einem S3-Objekt entdeckt, generiert es eine Sicherheitserkenntnis, um Sie zu benachrichtigen. Diese Erkenntnis enthält Informationen über das betroffene Objekt, die Art und Häufigkeit der Vorkommen der sensiblen Daten, die Macie gefunden hat, sowie zusätzliche Details, die Ihnen bei der Untersuchung des betroffenen S3-Buckets und -Objekts helfen. Weitere Informationen finden Sie im Benutzerhandbuch für Amazon Macie.

AWS Security Hub ist ein Service zur Verwaltung des Sicherheitsstatus, der bewährte Sicherheitsüberprüfungen durchführt, Warnmeldungen und Erkenntnisse aus mehreren Quellen in einem einzigen Format zusammenfasst und automatische Abhilfemaßnahmen ermöglicht.

Security Hub sammelt und stellt Daten zu Sicherheitserkenntnissen aus integrierten Sicherheitslösungen von AWS Partner Network und AWS-Services, wie Amazon Detective, Amazon GuardDuty, IAM Access Analyzer und Amazon Macie, bereit. Es generiert auch eigene Erkenntnisse, indem kontinuierliche, automatisierte Sicherheitsprüfungen auf der Grundlage von bewährten AWS-Methoden und unterstützten Industriestandards durchgeführt werden.

Security Hub korreliert und konsolidiert die Erkenntnisse dann anbieterübergreifend, um Ihnen dabei zu helfen, die wichtigsten Erkenntnisse zu priorisieren und zu verarbeiten. Es bietet auch Unterstützung für benutzerdefinierte Aktionen, mit denen Sie Antworten oder Abhilfemaßnahmen für bestimmte Klassen von Erkenntnissen aufrufen können.

Mit Security Hub können Sie den Sicherheits- und Compliance-Status Ihrer Amazon-S3-Ressourcen bewerten, und zwar im Rahmen einer umfassenderen Analyse der Sicherheitslage Ihrer Organisation in einzelnen AWS-Regionen sowie regionsübergreifend. Dazu gehören die Analyse von Sicherheitstrends und die Identifizierung der Sicherheitsprobleme mit der höchsten Priorität. Sie können auch Erkenntnisse aus mehreren AWS-Regionen zusammenfassen und aggregierte Erkenntnisdaten aus einer einzelnen Region überwachen und verarbeiten.

Weitere Informationen finden Sie unter Kontrollen von Amazon Simple Storage Service im Benutzerhandbuch für AWS Security Hub.