Sécurité de l’infrastructure dans Amazon S3

En tant que service géré, Amazon S3 est protégé par les procédures de sécurité du réseau AWS mondial décrites dans le pilier de sécurité du AWS Well-Architected Framework.

L'accès à Amazon S3 via le réseau se fait via la AWS publication APIs. Les clients doivent prendre en charge le protocole TLS (Transport Layer Security) 1.2. Nous recommandons également la prise en charge de TLS 1.3. (Pour plus d'informations sur cette recommandation, consultez la section Connexions AWS cloud plus rapides avec TLS 1.3 sur le blog AWS de sécurité.) Les clients doivent également prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). En outre, les demandes doivent être signées à l'aide de AWS la signature V4 ou de AWS la signature V2, ce qui nécessite la fourniture d'informations d'identification valides.

Ils APIs sont appelables depuis n'importe quel emplacement du réseau. Toutefois, Amazon S3 prend bel et bien en charge les stratégies d’accès basées sur les ressources, ce qui peut inclure des restrictions en fonction de l’adresse IP source. Vous pouvez également utiliser les politiques relatives aux compartiments Amazon S3 pour contrôler l'accès aux compartiments à partir de points de terminaison de cloud privé virtuel (VPC) spécifiques, ou spécifiques. VPCs En fait, cela isole l'accès réseau à un compartiment Amazon S3 donné uniquement du VPC spécifique au sein AWS du réseau. Pour de plus amples informations, veuillez consulter Contrôle de l’accès à partir des points de terminaison d’un VPC avec des stratégies de compartiment.

Les bonnes pratiques de sécurité suivantes s’appliquent également à la sécurité de l’infrastructure dans Amazon S3 :