Bewährte Methoden für die Sicherheit in Amazon S3

S3 Object Ownership ist eine Einstellung auf Amazon S3 S3-Bucket-Ebene, mit der Sie den Besitz von in Ihren Bucket hochgeladenen Objekten kontrollieren und deaktivieren oder aktivieren können. ACLs Standardmäßig ist für Object Ownership die Einstellung Bucket Owner erforced festgelegt, und alle sind ACLs deaktiviert. Wenn ACLs diese Option deaktiviert ist, besitzt der Bucket-Besitzer alle Objekte im Bucket und verwaltet den Zugriff auf Daten ausschließlich mithilfe von Zugriffsverwaltungsrichtlinien.

In den meisten modernen Anwendungsfällen in Amazon S3 ist die Verwendung von Zugriffskontrolllisten (ACLs) nicht mehr erforderlich. Wir empfehlen die Deaktivierung ACLs, außer in ungewöhnlichen Fällen, in denen Sie den Zugriff für jedes Objekt einzeln kontrollieren müssen. Um jedes Objekt in Ihrem Bucket zu deaktivieren ACLs und die Eigentümerschaft dafür zu übernehmen, wenden Sie für S3 Object Ownership die Einstellung Bucket Ownerforced an. Wenn Sie die Option deaktivieren ACLs, können Sie ganz einfach einen Bucket mit Objekten verwalten, die von verschiedenen AWS-Konten Personen hochgeladen wurden.

Wann deaktiviert ACLs sind, basiert die Zugriffskontrolle für Ihre Daten auf Richtlinien wie den folgenden:

Die Deaktivierung ACLs vereinfacht die Verwaltung und Prüfung von Berechtigungen. ACLs sind für neue Buckets standardmäßig deaktiviert. Sie können sie auch ACLs für bestehende Buckets deaktivieren. Wenn Sie über einen vorhandenen Bucket verfügen, der bereits Objekte enthält, ACLs sind das Objekt und der Bucket nach der Deaktivierung ACLs nicht mehr Teil des Zugriffsevaluierungsprozesses. Stattdessen wird der Zugriff auf der Grundlage von Richtlinien gewährt oder verweigert.

Stellen Sie vor der Deaktivierung sicher ACLs, dass Sie Folgendes tun:

Nach der Deaktivierung ACLs treten die folgenden Verhaltensweisen auf:

Weitere Informationen finden Sie unter Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket.

Sofern es nicht unbedingt notwendig ist, dass jemand Ihren S3-Bucket im Internet lesen oder darin schreiben kann, stellen Sie sicher, dass der S3-Bucket nicht öffentlich ist. Im Folgenden werden einige Maßnahmen zum Blockieren des öffentlichen Zugriffs aufgeführt:

Weitere Informationen finden Sie unter Identitäts- und Zugriffsverwaltung für Amazon S3.

Bei der Vergabe von Berechtigungen entscheiden Sie, wer welche Berechtigungen für welche Amazon-S3-Ressourcen erhält. Sie aktivieren die spezifischen Aktionen, die daraufhin für die betreffenden Ressourcen erlaubt sein sollen. Aus diesem Grund sollten Sie nur Berechtigungen gewähren, die zum Ausführen einer Aufgabe erforderlich sind. Die Implementierung der geringstmöglichen Zugriffsrechte ist eine grundlegende Voraussetzung zum Reduzieren des Sicherheitsrisikos und der Auswirkungen, die aufgrund von Fehlern oder böswilligen Absichten entstehen könnten.

Die folgenden Tools stehen zur Implementierung der geringstmöglichen Zugriffsrechte zur Verfügung:

Hilfreiche Informationen zur Entscheidung, welche der vorherigen Mechanismen Sie auswählen sollten, finden Sie unter Identitäts- und Zugriffsverwaltung für Amazon S3.

Damit Anwendungen, die auf Amazon EC2 oder anderen Plattformen ausgeführt werden, AWS-Services auf Amazon S3 S3-Ressourcen zugreifen können, müssen sie gültige AWS Anmeldeinformationen in ihren AWS API-Anfragen angeben. Wir empfehlen, AWS Anmeldeinformationen nicht direkt in der Anwendung oder EC2 Amazon-Instance zu speichern. Dabei handelt es sich um langfristige Anmeldeinformationen, die nicht automatisch rotiert werden und bedeutende geschäftliche Auswirkungen haben könnten, wenn sie kompromittiert werden.

Verwalten Sie stattdessen mithilfe einer IAM-Rolle temporäre Anmeldeinformationen für Anwendungen und Services, die Zugriff auf Amazon S3 benötigen. Wenn Sie eine Rolle verwenden, müssen Sie keine langfristigen Anmeldeinformationen (wie einen Benutzernamen und ein Passwort oder Zugriffsschlüssel) an eine EC2 Amazon-Instance verteilen oder AWS-Service, wie AWS Lambda. Die Rolle stellt temporäre Berechtigungen bereit, die Anwendungen verwenden können, wenn sie andere AWS Ressourcen aufrufen.

Weitere Informationen finden Sie unter folgenden Themen im IAM-Benutzerhandbuch:

Es gibt die folgenden Optionen, Daten im Ruhezustand in Amazon S3 zu schützen:

Sie können HTTPS (TLS) verwenden, um zu verhindern, dass potenzielle Angreifer den Netzwerkverkehr abhören oder durch ähnliche Angriffe manipulieren. person-in-the-middle Wir empfehlen, nur verschlüsselte Verbindungen über HTTPS (TLS) zuzulassen, indem Sie aws:SecureTransportBedingung in Ihren Amazon S3 S3-Bucket-Richtlinien. Weitere Informationen finden Sie im Beispiel für die S3-Bucket-Richtlinie Verwaltung des Zugriffs auf der Grundlage von HTTP- oder HTTPS-Anfragen. Wir empfehlen Ihnen, nicht nur HTTP-Anfragen abzulehnen, sondern auch CloudWatch Amazon-Alarme einzurichtentlsDetails.tlsVersion NOT EXISTS, die Sie benachrichtigen, wenn HTTP-Zugriffsversuche auf Ihre Inhalte unternommen werden. Weitere Informationen zur Konfiguration von CloudWatch Amazon-Alarmen finden Sie unter CloudWatch Alarme für CloudTrail Ereignisse erstellen: Beispiele und CloudTrail Datensatzinhalte im AWS CloudTrail Benutzerhandbuch.

Erwägen Sie auch die Implementierung fortlaufender Erkennungskontrollen mithilfe der s3-bucket-ssl-requests-onlyverwaltete AWS Config Regel.

Mit der S3-Objektsperre können Sie Objekte anhand des Modells „Write Once Read Many“ (WORM) speichern. Die S3-Objektsperre kann unbeabsichtigtes oder unsachgemäßes Löschen von Daten verhindern. Sie können beispielsweise S3 Object Lock verwenden, um Ihre AWS CloudTrail Protokolle zu schützen.

Weitere Informationen finden Sie unter Sperren von Objekten mit Object Lock.

Die S3-Versionsverwaltung ermöglicht Ihnen, mehrere Versionen eines Objekts im selben Bucket aufzubewahren. Sie können Versioning verwenden, um sämtliche Versionen aller Objekte in Ihrem Bucket zu speichern, abzurufen oder wiederherzustellen. Daten lassen sich dank Versioning nach unbeabsichtigten Benutzeraktionen und Anwendungsfehlern leicht wiederherstellen.

Erwägen Sie auch die Implementierung fortlaufender Erkennungskontrollen mithilfe der s3-bucket-versioning-enabledverwaltete AWS Config Regel.

Weitere Informationen finden Sie unter Beibehalten mehrerer Versionen von Objekten mit der S3-Versionsverwaltung.

Auch wenn Amazon S3 Ihre Daten standardmäßig in mehreren entfernten Availability Zones speichert, machen es die Compliance-Anforderungen möglicherweise erforderlich, Daten in noch größeren Entfernungen zu speichern. Mit S3 Cross-Region Replication (CRR) können Sie Daten zwischen entfernten Standorten replizieren, um diese Anforderungen AWS-Regionen zu erfüllen. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten zwischen verschiedenen Buckets. AWS-Regionen Weitere Informationen finden Sie unter Replizieren von Objekten innerhalb und zwischen Regionen.

Erwägen Sie auch die Implementierung fortlaufender Erkennungskontrollen mithilfe der s3-bucket-replication-enabledverwaltete AWS Config Regel.

Ein Virtual Private Cloud (VPC)-Endpunkt für Amazon S3 ist eine logische Einheit innerhalb einer VPC, die nur Konnektivität mit Amazon S3 ermöglicht. VPC-Endpunkte können dazu beitragen, zu verhindern, dass Datenverkehr durch das offene Internet gelangt.

VPC-Endpunkte für Amazon S3 bieten mehrere Möglichkeiten, den Zugriff auf Ihre Amazon-S3-Daten zu steuern:

Weitere Informationen finden Sie unter Steuern des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien.

Verschiedene verwaltete AWS Sicherheitsservices können Ihnen dabei helfen, Sicherheits- und Compliance-Risiken für Ihre Amazon S3 S3-Daten zu identifizieren, zu bewerten und zu überwachen. Diese Services können Ihnen auch dabei helfen, Ihre Daten vor diesen Risiken zu schützen. Diese Services umfassen automatisierte Erkennungs-, Überwachungs- und Schutzfunktionen, die so konzipiert sind, dass sie von Amazon S3 S3-Ressourcen für einzelne AWS-Konto bis hin zu Ressourcen für Organisationen mit Tausenden von Konten skaliert werden können.

Weitere Informationen finden Sie unter Überwachung der Datensicherheit mit verwalteten AWS Sicherheitsdiensten.

Die Identifikation Ihrer IT-Assets ist ein wichtiger Aspekt von Governance und Sicherheit. Es ist erforderlich, dass Sie alle Ihre Amazon-S3-Ressourcen überblicken, um ihren Sicherheitsstatus beurteilen und Maßnahmen gegen potenzielle Schwachstellen ergreifen zu können. Zum Prüfen Ihrer Ressourcen empfehlen wir Folgendes:

Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Sicherheit, Verfügbarkeit und Leistung von Amazon S3 und Ihren AWS Lösungen. AWS bietet verschiedene Tools und Dienste, mit denen Sie Amazon S3 und Ihre anderen überwachen können AWS-Services. Sie können beispielsweise CloudWatch Amazon-Metriken für Amazon S3 überwachen, insbesondere die DeleteRequests Kennzahlen PutRequests GetRequests4xxErrors,, und. Weitere Informationen erhalten Sie unter Metriken mit Amazon überwachen CloudWatch und Protokollierung und Überwachung in Amazon S3.

Ein zweites Beispiel finden Sie unter Beispiel: Amazon-S3-Bucket-Aktivität. In diesem Beispiel wird beschrieben, wie ein CloudWatch Alarm erstellt wird, der ausgelöst wird, wenn ein Amazon S3 S3-API-Aufruf an PUT DELETE eine Bucket-Richtlinie, einen Bucket-Lebenszyklus oder eine Bucket-Replikationskonfiguration oder an PUT eine Bucket-ACL erfolgt.

Die Server-Zugriffsprotokollierung bietet detaillierte Aufzeichnungen über die Anfragen, die an einen Bucket gestellt wurden. Server-Zugriffsprotokolle können Sie bei Sicherheits- und Zugriffsprüfungen unterstützen; sie geben Informationen über Ihren Kundenstamm und helfen beim Verständnis der Amazon-S3-Rechnung. Weitere Informationen zur Aktivierung der Server-Zugriffsprotokollierung finden Sie unter Protokollieren von Anfragen mit Server-Zugriffsprotokollierung.

Erwägen Sie auch die Implementierung fortlaufender detektiver Kontrollen mithilfe der s3-bucket-logging-enabled AWS Config verwaltete Regel.

AWS CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS-Service in Amazon S3 ausgeführt wurden. Sie können die von gesammelten Informationen verwenden CloudTrail , um Folgendes zu ermitteln:

Sie können beispielsweise CloudTrail Einträge für PUT Aktionen identifizieren, die sich auf den Datenzugriff auswirkenPutBucketAcl, insbesondere PutObjectAclPutBucketPolicy, undPutBucketWebsite.

Wenn Sie Ihre einrichten AWS-Konto, CloudTrail ist standardmäßig aktiviert. Sie können die letzten Ereignisse in der CloudTrail Konsole einsehen. Um eine fortlaufende Aufzeichnung der Aktivitäten und Ereignisse für Ihre Amazon S3 S3-Buckets zu erstellen, können Sie in der CloudTrail Konsole einen Trail erstellen. Weitere Informationen finden Sie unter Protokollieren von Datenereignissen im Benutzerhandbuch für AWS CloudTrail .

Wenn Sie einen Trail erstellen, können Sie ihn so konfigurieren, CloudTrail dass Datenereignisse protokolliert werden. Datenereignisse sind Datensätze von Ressourcen-Vorgänge, die auf oder innerhalb einer Ressource ausgeführt werden. In Amazon S3 zeichnen Datenereignisse API-Aktivitäten auf Objektebene für einzelne Buckets auf. CloudTrail unterstützt eine Teilmenge der Amazon S3 S3-API-Operationen auf Objektebene, wieGetObject, undDeleteObject. PutObject Weitere Informationen zur CloudTrail Funktionsweise mit Amazon S3 finden Sie unterProtokollieren Amazon S3 S3-API-Aufrufen mit AWS CloudTrail. In der Amazon-S3-Konsole können Sie Ihre S3-Buckets auch dafür konfigurieren, Aktivieren der CloudTrail Ereignisprotokollierung für S3-Buckets und -Objekte.

AWS Config stellt eine verwaltete Regel (cloudtrail-s3-dataevents-enabled) bereit, mit der Sie bestätigen können, dass mindestens ein CloudTrail Trail Datenereignisse für Ihre S3-Buckets protokolliert. Weitere Informationen finden Sie unter cloudtrail-s3-dataevents-enabled im Entwicklerhandbuch für AWS Config .

Einige der in diesem Thema aufgeführten bewährten Methoden schlagen vor, AWS Config Regeln zu erstellen. AWS Config hilft Ihnen bei der Bewertung, Prüfung und Bewertung der Konfigurationen Ihrer AWS Ressourcen. AWS Config überwacht die Ressourcenkonfigurationen, sodass Sie die aufgezeichneten Konfigurationen mit den gewünschten sicheren Konfigurationen vergleichen können. Mit AWS Config können Sie Folgendes tun:

Mithilfe AWS Config können Sie Compliance-Prüfungen, Sicherheitsanalysen, das Änderungsmanagement und die betriebliche Fehlerbehebung vereinfachen. Weitere Informationen finden Sie unter Einrichtung AWS Config mit der Konsole im AWS Config Entwicklerhandbuch. Wenn Sie die aufzuzeichnenden Ressourcentypen angeben, stellen Sie sicher, dass Sie Amazon-S3-Ressourcen mit einbeziehen.

Ein AWS Config Anwendungsbeispiel finden Sie im AWS Sicherheits-Blog unter How to Use AWS Config to Monitor for and Respond to Amazon S3 Buckets Allowing Public Access.

S3 Storage Lens ist eine Cloud-Speicheranalysefunktion, mit der Sie unternehmensweite Einblicke in die Nutzung und Aktivität von Objektspeichern erhalten können. S3 Storage Lens analysiert Metriken, um kontextbezogene Empfehlungen zur Optimierung der Speicherkosten und zur Anwendung bewährter Datenschutzmethoden zu geben.

Mit S3 Storage Lens können Sie Metriken verwenden, um zusammenfassende Erkenntnisse zu gewinnen und z. B. herauszufinden, wie viel Speicher Sie in Ihrer gesamten Organisation haben oder welche Buckets und Präfixe am schnellsten wachsen. Außerdem können Sie anhand der Metriken von S3 Storage Lens umfassende Möglichkeiten zur Kostenoptimierung aufdecken, bewährte Methoden für den Datenschutz und die Zugriffsverwaltung implementieren und die Leistung von Anwendungs-Workloads verbessern.

Sie können beispielsweise Buckets identifizieren, für die keine S3-Lebenszyklusregeln gelten, damit unvollständige mehrteilige Uploads, die älter als 7 Tage sind, abgebrochen werden. Sie können auch Buckets identifizieren, die nicht den bewährten Datenschutzmethoden entsprechen, z. B. die Verwendung von S3 Replication oder S3 Versionierung. Weitere Informationen finden Sie unter Grundlegendes zu Amazon S3 Storage Lens.

Wir raten Ihnen, die in Trusted Advisor für Ihr AWS-Konto geposteten Sicherheitsempfehlungen regelmäßig zu überprüfen. Achten Sie dabei besonders auf Warnungen zu Amazon-S3-Buckets mit „offenen Zugriffsberechtigungen“. Sie können dies programmgesteuert tun, indem Sie describe-trusted-advisor-checks.

Überwachen Sie außerdem aktiv die primäre E-Mail-Adresse, die für jede Ihrer E-Mails registriert ist. AWS-Konten AWS verwendet diese E-Mail-Adresse, um Sie über neu auftretende Sicherheitsprobleme zu informieren, die Sie betreffen könnten.

AWS betriebliche Probleme mit weitreichenden Auswirkungen werden im AWS Health Dashboard Service Health veröffentlicht. Operative Probleme werden über AWS Health Dashboard auch in den einzelnen Konten veröffentlicht. Weitere Informationen finden Sie in der AWS Health -Dokumentation.

Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre Workloads AWS-Konten und Ihre Workloads kontinuierlich auf böswillige Aktivitäten überwacht und detaillierte Sicherheitsergebnisse zur besseren Übersicht und Problembehebung liefert.

Wenn die S3-Schutzfunktion aktiviert ist GuardDuty, können Sie die Konfiguration so konfigurieren, GuardDuty dass AWS CloudTrail Management- und Datenereignisse für Ihre Amazon S3 S3-Ressourcen analysiert werden. GuardDuty überwacht diese Ereignisse dann auf böswillige und verdächtige Aktivitäten. GuardDuty Nutzt Threat-Intelligence-Feeds und maschinelles Lernen, um fundierte Analysen durchzuführen und potenzielle Sicherheitsrisiken zu identifizieren.

GuardDuty kann verschiedene Arten von Aktivitäten für Ihre Amazon S3 S3-Ressourcen überwachen. Zu den CloudTrail Verwaltungsereignissen für Amazon S3 gehören beispielsweise Operationen auf Bucket-Ebene, wie ListBucketsDeleteBucket, und. PutBucketReplication CloudTrail Datenereignisse für Amazon S3 umfassen Operationen auf Objektebene, wie GetObjectListObjects, und. PutObject Wenn ungewöhnliche oder potenziell bösartige Aktivitäten GuardDuty erkannt werden, generiert es einen Befund, der Sie benachrichtigt.

Weitere Informationen finden Sie unter Amazon S3 Protection in Amazon GuardDuty im GuardDuty Amazon-Benutzerhandbuch.

Amazon Detective vereinfacht den Ermittlungsprozess und hilft Ihnen, schnellere und effektivere Sicherheitsuntersuchungen durchzuführen. Detective bietet vordefinierte Datenaggregationen, Zusammenfassungen und Kontexte, mit denen Sie Art und Ausmaß möglicher Sicherheitsprobleme analysieren und bewerten können.

Detective extrahiert automatisch zeitbasierte Ereignisse wie API-Aufrufe aus AWS CloudTrail und Amazon VPC Flow Logs für Ihre AWS Ressourcen. Es nimmt auch Ergebnisse auf, die von Amazon GuardDuty generiert wurden. Detective verwendet dann Machine Learning, statistische Analysen und die Graphentheorie, um Visualisierungen zu erstellen, mit denen Sie effektive Sicherheitsuntersuchungen schneller durchführen können.

Diese Visualisierungen bieten eine einheitliche, interaktive Ansicht des Ressourcenverhaltens und der Interaktionen zwischen ihnen im Zeitverlauf. Sie können dieses Verhaltensdiagramm untersuchen, um potenziell bösartige Aktionen wie fehlgeschlagene Anmeldeversuche oder verdächtige API-Aufrufe zu untersuchen. Sie können auch sehen, wie sich diese Aktionen auf Ressourcen wie S3-Buckets und -Objekte auswirken.

Weitere Informationen finden Sie im Administratorhandbuch für Amazon Detective.

AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) kann Ihnen helfen, Ressourcen zu identifizieren, die mit einer externen Entität gemeinsam genutzt werden. Sie können IAM Access Analyzer auch verwenden, um IAM-Richtlinien anhand der Richtliniengrammatik und der Best Practices zu überprüfen und IAM-Richtlinien auf der Grundlage der Zugriffsaktivitäten in Ihren Protokollen zu generieren. AWS CloudTrail

IAM Access Analyzer verwendet logisches Denken, um Ressourcenrichtlinien in Ihrer AWS Umgebung zu analysieren, z. B. Bucket-Richtlinien. Mit IAM Access Analyzer for S3 erhalten Sie eine Warnung, wenn ein S3-Bucket so konfiguriert ist, dass er allen Personen im Internet oder in anderen Bereichen Zugriff gewährt AWS-Konten, einschließlich Konten außerhalb Ihrer Organisation. Beispielsweise könnte IAM Access Analyzer für S3 zeigen, dass ein Bucket über Lese- oder Schreibzugriff verfügt, der über eine Bucket-Zugriffssteuerungsliste (ACL), eine Bucket-Richtlinie, eine Richtlinie für Multi-Region Access Points oder eine Zugriffspunktrichtlinie bereitgestellt wird. Für jeden öffentlichen oder freigegebenen Bucket erhalten Sie Erkenntnisse, die die Quelle und die Ebene des öffentlichen oder freigegebenen Zugriffs angeben. Anhand dieser Erkenntnisse können Sie sofortige und präzise Korrekturmaßnahmen ergreifen, um den Bucket-Zugriff wie beabsichtigt wiederherzustellen.

Weitere Informationen finden Sie unter Überprüfen des Bucket-Zugriffs mit IAM Access Analyzer für S3.

Amazon Macie ist ein Sicherheitsservice, der sensible Daten mithilfe von Machine Learning und Musterabgleich erkennt. Macie bietet Einblick in Datensicherheitsrisiken und ermöglicht automatischen Schutz vor diesen Risiken. Mit Macie können Sie die Erkennung und Meldung sensibler Daten in Ihrem Amazon-S3-Datenbestand automatisieren, um die Daten besser zu verstehen, die Ihre Organisation in S3 speichert.

Um sensible Daten mit Macie zu erkennen, können Sie integrierte Kriterien und Techniken verwenden, die darauf ausgelegt sind, eine lange und wachsende Liste vertraulicher Datentypen für viele Länder und Regionen zu erkennen. Diese sensiblen Datentypen umfassen mehrere Arten von persönlich identifizierbaren Informationen (PII), Finanzdaten und Anmeldeinformationen. Sie können auch benutzerdefinierte Kriterien verwenden, die Sie definieren – reguläre Ausdrücke, die Textmuster zum Abgleichen definieren, und optional Zeichenfolgen und Näherungsregeln, um die Ergebnisse zu verfeinern.

Wenn Macie sensible Daten in einem S3-Objekt entdeckt, generiert es eine Sicherheitserkenntnis, um Sie zu benachrichtigen. Diese Erkenntnis enthält Informationen über das betroffene Objekt, die Art und Häufigkeit der Vorkommen der sensiblen Daten, die Macie gefunden hat, sowie zusätzliche Details, die Ihnen bei der Untersuchung des betroffenen S3-Buckets und -Objekts helfen. Weitere Informationen finden Sie im Benutzerhandbuch für Amazon Macie.

AWS Security Hub ist ein Service zur Verwaltung des Sicherheitsstatus, der bewährte Sicherheitsverfahren überprüft, Warnmeldungen und Ergebnisse aus mehreren Quellen in einem einzigen Format zusammenfasst und automatisierte Problembehebungen ermöglicht.

Security Hub sammelt und stellt Daten zu Sicherheitsergebnissen aus integrierten AWS Partner Network Sicherheitslösungen wie Amazon Detective, Amazon GuardDuty, IAM Access Analyzer und Amazon Macie bereit. AWS-Services Es generiert auch seine eigenen Ergebnisse, indem es kontinuierliche, automatisierte Sicherheitsprüfungen durchführt, die auf AWS bewährten Verfahren und unterstützten Industriestandards basieren.

Security Hub korreliert und konsolidiert die Erkenntnisse dann anbieterübergreifend, um Ihnen dabei zu helfen, die wichtigsten Erkenntnisse zu priorisieren und zu verarbeiten. Es bietet auch Unterstützung für benutzerdefinierte Aktionen, mit denen Sie Antworten oder Abhilfemaßnahmen für bestimmte Klassen von Erkenntnissen aufrufen können.

Mit Security Hub können Sie den Sicherheits- und Compliance-Status Ihrer Amazon S3 S3-Ressourcen bewerten, und zwar im Rahmen einer umfassenderen Analyse der Sicherheitslage Ihres Unternehmens in einzelnen AWS-Regionen und in mehreren Regionen. Dazu gehören die Analyse von Sicherheitstrends und die Identifizierung der Sicherheitsprobleme mit der höchsten Priorität. Sie können auch Erkenntnisse aus mehreren AWS-Regionen zusammenfassen und aggregierte Erkenntnisdaten aus einer einzelnen Region überwachen und verarbeiten.

Weitere Informationen finden Sie unter Kontrollen von Amazon Simple Storage Service im Benutzerhandbuch für AWS Security Hub .