Sichere Lightsail-Objektspeicher-Buckets - Amazon Lightsail
Bewährte Methoden für vorbeugende SicherheitsmaßnahmenBewährte Methoden zur Überwachung und Prüfung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sichere Lightsail-Objektspeicher-Buckets

Amazon Lightsail Object Storage bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.

Inhalt

Bewährte Methoden für vorbeugende Sicherheitsmaßnahmen

Die folgenden bewährten Methoden können dazu beitragen, Sicherheitsvorfälle mit Lightsail-Buckets zu verhindern.

Implementieren des Zugriffs mit geringsten Berechtigungen

Bei der Erteilung von Berechtigungen entscheiden Sie, wer welche Berechtigungen für welche Lightsail-Ressourcen erhält. Sie aktivieren die spezifischen Aktionen, die daraufhin für die betreffenden Ressourcen erlaubt sein sollen. Aus diesem Grund sollten Sie nur Berechtigungen gewähren, die zum Ausführen einer Aufgabe erforderlich sind. Die Implementierung der geringstmöglichen Zugriffsrechte ist eine grundlegende Voraussetzung zum Reduzieren des Sicherheitsrisikos und der Auswirkungen, die aufgrund von Fehlern oder böswilligen Absichten entstehen könnten.

Weitere Informationen zum Erstellen einer IAM-Richtlinie zum Verwalten von Buckets finden Sie unter IAM-Richtlinie zum Verwalten von Buckets. Weitere Informationen zu den Amazon S3 S3-Aktionen, die von Lightsail-Buckets unterstützt werden, finden Sie unter Aktionen für Objektspeicher in der Amazon Lightsail-API-Referenz.

Stellen Sie sicher, dass Ihre Lightsail-Buckets nicht öffentlich zugänglich sind

Buckets und Objekte sind standardmäßig privat. Halten Sie Ihren Bucket privat, indem Sie die Bucket-Zugriffsberechtigung auf All objects are private (Alle Objekte sind privat) setzen. In den meisten Anwendungsfällen müssen Sie Ihren Bucket oder einzelne Objekte nicht öffentlich machen. Weitere Informationen finden Sie unter Konfigurieren von Zugriffsberechtigungen für einzelne Objekte in einem Bucket.

Bucket-Zugriffsberechtigungen in der Lightsail-Konsole

Wenn Sie jedoch Ihren Bucket verwenden, um Medien für Ihre Website oder Anwendung zu hosten, müssen Sie in bestimmten Szenarien möglicherweise Ihren Bucket oder einzelne Objekte öffentlich machen. Sie können eine der folgenden Optionen konfigurieren, um Ihren Bucket oder einzelne Objekte öffentlich zu machen:

  • Wenn nur einige der Objekte in einem Bucket für jeden im Internet öffentlich (schreibgeschützt) sein müssen, ändern Sie die Bucket-Zugriffsberechtigung in Einzelne Objekte können öffentlich und schreibgeschützt gemacht werden und ändern Sie nur die Objekte, die öffentlich sein müssen in Öffentlich (schreibgeschützt). Diese Option hält den Bucket privat, gibt Ihnen jedoch die Möglichkeit, einzelne Objekte öffentlich zu machen. Machen Sie ein einzelnes Objekt nicht öffentlich, wenn es sensible oder vertrauliche Informationen enthält, die nicht öffentlich zugänglich sein sollen. Wenn Sie einzelne Objekte öffentlich machen, sollten Sie die öffentliche Zugänglichkeit jedes einzelnen Objekts regelmäßig überprüfen.

    Bucket-Zugriffsberechtigungen in der Lightsail-Konsole

  • Wenn alle Objekte im Bucket für jeden im Internet öffentlich (schreibgeschützt) sein müssen, ändern Sie die Bucket-Zugriffsberechtigung in Alle Objekte sind öffentlich und schreibgeschützt. Verwenden Sie diese Option nicht, wenn eines Ihrer Objekte im Bucket sensible oder vertrauliche Informationen enthält.

    Bucket-Zugriffsberechtigungen in der Lightsail-Konsole

  • Wenn Sie zuvor einen Bucket in öffentlich oder einzelne Objekte in öffentlich geändert haben, können Sie den Bucket und alle seine Objekte schnell in privat ändern, indem Sie die Bucket-Zugriffsberechtigung in All objects are private (Alle Objekte sind privat) ändern.

    Bucket-Zugriffsberechtigungen in der Lightsail-Konsole

Blockieren des öffentlichen Zugriffs in Amazon S3 aktivieren

Lightsail-Objektspeicherressourcen berücksichtigen sowohl Lightsail-Bucket-Zugriffsberechtigungen als auch Konfigurationen für blockierten öffentlichen Zugriff auf Amazon S3 S3-Kontoebene, wenn sie öffentlichen Zugriff zulassen oder verweigern. Mit der Sperrung des öffentlichen Zugriffs auf Amazon S3-Kontoebene können Kontoadministratoren und Bucket-Besitzer den öffentlichen Zugriff auf ihre Amazon S3- und Lightsail-Buckets zentral einschränken. Durch Blockieren des öffentlichen Zugriffs können alle Amazon S3- und Lightsail-Buckets privat gemacht werden, unabhängig davon, wie die Ressourcen erstellt wurden und unabhängig von den individuellen Bucket- und Objektberechtigungen, die möglicherweise konfiguriert wurden. Weitere Informationen finden Sie unter Blockieren des öffentlichen Zugriffs für Buckets.

Anhängen von Instances an Buckets, um vollständigen programmatischen Zugriff zu gewähren

Das Anhängen einer Instanz an einen Lightsail-Objektspeicher-Bucket ist die sicherste Methode, Zugriff auf den Bucket zu gewähren. Die Resource access (Ressourcenzugriff) Funktion, mit der Sie eine Instance an einen Bucket anhängen, gewährt der Instance vollen programmatischen Zugriff auf den Bucket. Mit dieser Methode müssen Sie Bucket-Anmeldeinformationen nicht direkt in der Instance oder Anwendung speichern und Sie müssen die Anmeldeinformationen nicht regelmäßig drehen. Beispielsweise können einige WordPress Plugins auf einen Bucket zugreifen, auf den die Instanz Zugriff hat. Weitere Informationen finden Sie unter Ressourcenzugriff für einen Bucket konfigurieren und Tutorial: Einen Bucket mit Ihrer WordPress Instance Connect.

Zugriff auf Bucket-Ressourcen in der Lightsail-Konsole

Wenn sich die Anwendung jedoch nicht auf einer Lightsail-Instanz befindet, können Sie Bucket-Zugriffsschlüssel erstellen und konfigurieren. Bucket-Zugriffsschlüssel sind langfristige Anmeldeinformationen, die nicht automatisch gedreht werden.

Bucket-Zugriffstasten in der Lightsail-Konsole

Sie können Zugriffsschlüssel erstellen und verwenden, um Anwendungen oder Plug-Ins vollen programmatischen Zugriff auf Objekte in Ihrem Bucket zu gewähren. Wenn Sie einen Zugriffsschlüssel mit Ihrem Bucket verwenden, sollten Sie Ihre Schlüssel regelmäßig drehen und eine Bestandsaufnahme der vorhandenen Schlüssel machen. Vergewissern Sie sich, dass das Datum, an dem ein Zugriffsschlüssel zuletzt verwendet wurde, und das AWS-Region Datum, an dem er verwendet wurde, Ihren Erwartungen bezüglich der Verwendung des Schlüssels entsprechen. Das Datum, an dem ein Zugriffsschlüssel zuletzt verwendet wurde, wird in der Lightsail-Konsole im Abschnitt Zugriffstasten auf der Registerkarte „Berechtigungen“ auf der Verwaltungsseite eines Buckets angezeigt. Löschen Sie Zugriffsschlüssel, die nicht verwendet werden.

Wenn Sie Ihren geheimen Zugriffsschlüssel versehentlich mit der Öffentlichkeit teilen, sollten Sie ihn löschen und einen neuen erstellen. Sie können maximal zwei Zugriffsschlüssel pro Bucket besitzen. Obwohl Sie zwei verschiedene Zugriffsschlüssel gleichzeitig haben können, ist es hilfreich, einen Zugriffsschlüssel in Ihrem Bucket nicht zu verwenden, wenn Sie einen Schlüssel mit minimalen Ausfallzeiten drehen müssen. Um einen Zugriffsschlüssel zu drehen, erstellen Sie einen neuen, konfigurieren Sie ihn in Ihrer Software und testen Sie ihn. Löschen Sie dann den vorherigen Schlüssel. Das Löschen eines Zugriffsschlüssels ist ein endgültiger Vorgang, der nicht rückgängig gemacht werden kann. Er kann nur durch einen neuen Zugriffsschlüssel ersetzt werden. Weitere Informationen finden Sie unter Erstellen von Bucket-Zugriffsschlüsseln.

Verwenden Sie den kontoübergreifenden Zugriff, um anderen AWS Konten Zugriff auf Objekte in Ihrem Bucket zu gewähren

Sie können den kontoübergreifenden Zugriff verwenden, um Objekte in einem Bucket einer bestimmten Person zugänglich zu machen, die über ein AWS Konto verfügt, ohne den Bucket und seine Objekte öffentlich zu machen. Wenn Sie den kontoübergreifenden Zugriff konfiguriert haben, stellen Sie sicher, dass die aufgelisteten Konto-IDs die richtigen Konten sind, denen Sie Zugriff auf Objekte in Ihrem Bucket gewähren möchten. Weitere Informationen finden Sie unter Konfigurieren des kontoübergreifenden Zugriffs für einen Bucket.

Kontoübergreifender Bucket-Zugriff in der Lightsail-Konsole

Datenverschlüsselung

Lightsail führt serverseitige Verschlüsselung mit von Amazon verwalteten Schlüsseln und Verschlüsselung von Daten während der Übertragung durch die Erzwingung von HTTPS (TLS) durch. Die serverseitige Verschlüsselung hilft, das Risiko für Ihre Daten zu reduzieren, indem die Daten mit einem Schlüssel verschlüsselt werden, der in einem separaten Service gespeichert wird. Darüber hinaus trägt die Verschlüsselung von Daten während der Übertragung dazu bei, dass potenzielle Angreifer den Netzwerkverkehr mit oder ähnlichen Angriffen abhören oder manipulieren können. person-in-the-middle

Aktivieren von Versioning

Das Versioning ermöglicht Ihnen, mehrere Versionen eines Objekts im selben Bucket aufzubewahren. Sie können die Versionierung verwenden, um jede Version jedes in Ihrem Lightsail-Bucket gespeicherten Objekts beizubehalten, abzurufen und wiederherzustellen. Daten lassen sich dank Versioning nach unbeabsichtigten Benutzeraktionen und Anwendungsfehlern leicht wiederherstellen. Weitere Informationen finden Sie unter Aktivieren und Aussetzen der Bucket-Objekt-Versionsverwaltung.

Bewährte Methoden zur Überwachung und Prüfung

Die folgenden bewährten Methoden können dabei helfen, potenzielle Sicherheitslücken und Vorfälle für Lightsail-Buckets zu erkennen.

Aktivieren Sie die Zugriffsprotokollierung und führen Sie regelmäßige Sicherheits- und Zugriffsprüfungen durch

Die Zugriffsprotokollierung bietet detaillierte Aufzeichnungen über die Anforderungen, die an einen Bucket gestellt wurden. Dabei kann es sich um den Anforderungstyp (GET, PUT), die in der Anfrage angegebenen Ressourcen sowie Uhrzeit und Datum der Anfrageverarbeitung handeln. Aktivieren Sie die Zugriffsprotokollierung für einen Bucket und führen Sie regelmäßig eine Sicherheits- und Zugriffsprüfung durch, um die Entitäten zu identifizieren, die auf Ihren Bucket zugreifen. Standardmäßig sammelt Lightsail keine Zugriffsprotokolle für Ihre Buckets. Sie müssen die Zugriffsprotokollierung manuell aktivieren. Weitere Informationen finden Sie unter Bucket-Zugriffsprotokolle und Bucket-Zugriffsprotokollierung aktivieren.

Identifizieren, kennzeichnen und prüfen Sie Ihre Lightsail-Buckets

Die Identifikation Ihrer IT-Assets ist ein wichtiger Aspekt von Governance und Sicherheit. Sie müssen einen Überblick über all Ihre Lightsail-Buckets haben, um deren Sicherheitslage beurteilen und Maßnahmen gegen potenzielle Schwachstellen ergreifen zu können.

Verwenden Sie die Markierung, um sicherheits- und prüfungsrelevante Ressourcen zu identifizieren. Verwenden Sie dann diese Tags zur Suche nach den entsprechenden Ressourcen. Weitere Informationen finden Sie unter Tags.

Implementieren der Überwachung mit AWS -Überwachungstools

Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Sicherheit, Verfügbarkeit und Leistung von Lightsail-Buckets und anderen Ressourcen. Sie können Benachrichtigungsalarme für die Bucket-Metriken Bucket Size (BucketSizeBytes) und Number of objects (NumberOfObjects) in Lightsail überwachen und erstellen. Sie möchten beispielsweise benachrichtigt werden, wenn die Größe Ihres Buckets auf eine bestimmte Größe vergrößert oder verkleinert wird oder wenn die Anzahl der Objekte in Ihrem Bucket auf eine bestimmte Anzahl steigt oder sinkt. Weitere Informationen finden Sie unter Erstellen von Bucket-Metrikalarmen.

Verwenden AWS CloudTrail

AWS CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS Dienst in Lightsail ausgeführt wurden. Sie können die von gesammelten Informationen verwenden, CloudTrail um die Anfrage, die an Lightsail gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details zu ermitteln. Sie können beispielsweise CloudTrail Einträge für Aktionen identifizieren, die sich auf den Datenzugriff auswirken, insbesondereCreateBucketAccessKey,, GetBucketAccessKeys DeleteBucketAccessKeySetResourceAccessForBucket, und. UpdateBucket Wenn Sie Ihr AWS Konto einrichten, CloudTrail ist diese Option standardmäßig aktiviert. Sie können die letzten Ereignisse in der CloudTrail Konsole einsehen. Um eine fortlaufende Aufzeichnung der Aktivitäten und Ereignisse für Ihre Lightsail-Buckets zu erstellen, können Sie in der Konsole einen Trail erstellen. CloudTrail Weitere Informationen finden Sie unter Protokollierung von Datenereignissen für Trails im AWS CloudTrail -Benutzerhandbuch.

Überwachen Sie die Sicherheitsempfehlungen AWS

Überwachen Sie aktiv die primäre E-Mail-Adresse, die für das AWS Konto registriert ist. AWS wird Sie über diese E-Mail-Adresse über neu auftretende Sicherheitsprobleme informieren, die Sie betreffen könnten.

AWS Betriebsprobleme mit weitreichenden Auswirkungen werden im AWS Service Health Dashboard veröffentlicht. Operative Probleme werden ebenfalls über das Personal Health Dashboard in den einzelnen Konten gepostet. Weitere Informationen finden Sie in der AWS -Zustands-Dokumentation.