Bonnes pratiques de sécurité pour Amazon S3

La propriété des objets S3 est un paramètre au niveau du compartiment Amazon S3 que vous pouvez utiliser pour contrôler la propriété des objets chargés dans votre compartiment et pour désactiver ou activer. ACLs Par défaut, Object Ownership est défini sur le paramètre imposé par le propriétaire du bucket et tous ACLs sont désactivés. Lorsqu'elles ACLs sont désactivées, le propriétaire du compartiment possède tous les objets du compartiment et gère l'accès aux données exclusivement à l'aide de politiques de gestion des accès.

La majorité des cas d'utilisation modernes d'Amazon S3 ne nécessitent plus l'utilisation de listes de contrôle d'accès (ACLs). Nous vous recommandons de le désactiverACLs, sauf dans des circonstances exceptionnelles où vous devez contrôler l'accès à chaque objet individuellement. Pour désactiver ACLs et prendre possession de chaque objet de votre compartiment, appliquez le paramètre imposé par le propriétaire du compartiment pour S3 Object Ownership. Lorsque vous le désactivezACLs, vous pouvez facilement gérer un compartiment contenant des objets chargés par différents utilisateurs Comptes AWS.

Lorsque ACLs le contrôle d'accès à vos données est désactivé, il est basé sur des politiques telles que les suivantes :

La désactivation ACLs simplifie la gestion et l'audit des autorisations. ACLssont désactivés par défaut pour les nouveaux compartiments. Vous pouvez également le désactiver ACLs pour les buckets existants. Si un compartiment existant contient déjà des objets, une fois que vous l'avez désactivéACLs, l'objet et le compartiment ne ACLs font plus partie du processus d'évaluation des accès. Au lieu de cela, l'accès est accordé ou refusé sur la base des politiques.

Avant de procéder à ACLs la désactivation, assurez-vous d'effectuer les opérations suivantes :

Après la désactivationACLs, les comportements suivants se produisent :

Pour de plus amples informations, veuillez consulter Contrôle de la propriété des objets et désactivation ACLs pour votre compartiment.

À moins que vous ayez explicitement besoin que quiconque sur Internet puisse lire ou écrire dans votre compartiment S3, veillez à ce que votre compartiment S3 ne soit pas public. Voici quelques-unes des étapes que vous pouvez suivre pour bloquer l'accès public :

Pour de plus amples informations, veuillez consulter Identity and Access Management pour Amazon S3.

Lorsque vous accordez des autorisations, vous décidez qui obtient quelles autorisations pour telles ou telles ressources Amazon S3. Vous activez des actions spécifiques que vous souhaitez autoriser sur ces ressources. Par conséquent, nous vous recommandons d'accorder uniquement les autorisations qui sont requises pour effectuer une tâche. L'implémentation d'un accès sur la base du moindre privilège est fondamentale pour réduire les risques en matière de sécurité et l'impact que pourraient avoir des d'erreurs ou des actes de malveillance.

Les outils suivants sont disponibles pour l'implémentation d'un accès sur la base du moindre privilège :

Pour obtenir des conseils sur ce qu'il faut prendre en compte lors du choix d'un ou plusieurs des mécanismes précédents, veuillez consulter Identity and Access Management pour Amazon S3.

Pour que les applications exécutées sur Amazon EC2 ou autre puissent accéder Services AWS aux ressources Amazon S3, elles doivent inclure des AWS informations d'identification valides dans leurs AWS API demandes. Nous vous recommandons de ne pas stocker AWS les informations d'identification directement dans l'application ou l'EC2instance Amazon. Il s'agit d'autorisations à long terme qui ne font pas automatiquement l'objet d'une rotation et qui pourraient avoir un impact commercial important si elles étaient compromises.

Utilisez plutôt un IAM rôle pour gérer les informations d'identification temporaires pour les applications ou les services qui doivent accéder à Amazon S3. Lorsque vous utilisez un rôle, vous n'avez pas besoin de distribuer des informations d'identification à long terme (telles qu'un nom d'utilisateur et un mot de passe ou des clés d'accès) à une EC2 instance Amazon ou Service AWS, par exemple AWS Lambda. Le rôle fournit des autorisations temporaires que les applications peuvent utiliser lorsqu'elles appellent d'autres AWS ressources.

Pour plus d'informations, consultez les rubriques suivantes du guide de l'IAMutilisateur :

Pour protéger des données au repos dans Amazon S3, les options suivantes sont possibles :

Vous pouvez utiliser HTTPS (TLS) pour empêcher les attaquants potentiels d'espionner ou de manipuler le trafic réseau en utilisant person-in-the-middle des attaques similaires. Nous recommandons d'autoriser uniquement les connexions chiffrées via HTTPS (TLS) en utilisant le aws:SecureTransportcondition dans vos politiques de compartiment Amazon S3.

Envisagez également de mettre en œuvre des contrôles de détection continus en utilisant le s3-bucket-ssl-requests-only AWS Config règle gérée.

Avec S3 Object Lock, vous pouvez stocker des objets en utilisant un modèle « Write Once Read Many » (WORM). Le verrouillage des objets S3 peut contribuer à empêcher une suppression accidentelle ou inappropriée de données. Par exemple, vous pouvez utiliser S3 Object Lock pour protéger vos AWS CloudTrail journaux.

Pour de plus amples informations, veuillez consulter Verrouiller des objets avec Object Lock.

La gestion des versions S3 est un moyen de conserver plusieurs variantes d'un objet dans le même compartiment. Vous pouvez utiliser la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment . La gestion des versions permet de récupérer facilement les données en cas d'actions involontaires des utilisateurs ou de défaillances des applications.

Envisagez également de mettre en œuvre des contrôles de détection continus en utilisant le s3-bucket-versioning-enabled AWS Config règle gérée.

Pour de plus amples informations, veuillez consulter Conservation de plusieurs versions d'objets grâce au versionnement S3.

Même si Amazon S3 stocke par défaut vos données dans plusieurs zones de disponibilité distinctes géographiquement, les exigences de conformité peuvent vous obliger à stocker les données à des distances encore plus importantes. Avec S3 Cross-Region Replication (CRR), vous pouvez répliquer des données entre des sites distants Régions AWS pour répondre à ces exigences. CRRpermet la copie automatique et asynchrone d'objets dans différents compartiments. Régions AWS Pour de plus amples informations, veuillez consulter Réplication d'objets au sein des régions et entre elles.

Envisagez également de mettre en œuvre des contrôles de détection continus en utilisant le s3-bucket-replication-enabled AWS Config règle gérée.

Un point de terminaison de cloud privé virtuel (VPC) pour Amazon S3 est une entité logique au sein d'un VPC qui permet la connectivité uniquement à Amazon S3. VPCles points de terminaison peuvent aider à empêcher le trafic de traverser l'Internet ouvert.

VPCles points de terminaison pour Amazon S3 offrent plusieurs moyens de contrôler l'accès à vos données Amazon S3 :

Pour de plus amples informations, veuillez consulter Contrôle de l'accès depuis les VPC terminaux à l'aide de politiques relatives aux compartiments.

Plusieurs services AWS de sécurité gérés peuvent vous aider à identifier, évaluer et surveiller les risques de sécurité et de conformité pour vos données Amazon S3. Ces services peuvent également vous aider à protéger vos données contre ces risques. Ces services incluent des fonctionnalités de détection, de surveillance et de protection automatisées conçues pour passer des ressources Amazon S3 réservées à une seule personne Compte AWS à des ressources destinées aux organisations comptant des milliers de comptes.

Pour de plus amples informations, veuillez consulter Surveillance de la sécurité des données grâce à des services AWS de sécurité gérés.

L'identification de vos ressources informatiques est un aspect crucial de la gouvernance et de la sécurité. Vous devez avoir une visibilité sur toutes vos ressources Amazon S3 pour évaluer leur niveau de sécurité et agir sur les zones de vulnérabilité potentielles. Pour auditer vos ressources, nous vous recommandons de procéder comme suit :

La surveillance joue un rôle important dans le maintien de la fiabilité, de la sécurité, de la disponibilité et des performances d'Amazon S3 et de vos AWS solutions. AWS fournit plusieurs outils et services pour vous aider à surveiller Amazon S3 et vos autres Services AWS. Par exemple, vous pouvez surveiller CloudWatch les métriques Amazon pour Amazon S3, en particulier les DeleteRequests métriques PutRequests GetRequests4xxErrors,, et. Pour plus d’informations, consultez Surveillance des métriques avec Amazon CloudWatch et Journalisation et surveillance dans Amazon S3.

Pour obtenir un deuxième exemple, veuillez consulter Exemple : Activité de compartiment Amazon S3. Cet exemple décrit comment créer une CloudWatch alarme qui est déclenchée lorsqu'un API appel Amazon S3 est envoyé à un bucket PUT ou à DELETE une politique de bucket, à un cycle de vie de bucket, à une configuration de réplication de bucket ou à PUT un bucketACL.

La journalisation des accès au serveur fournit des enregistrements détaillés sur les demandes soumises à un compartiment. Les journaux d'accès au serveur peuvent vous aider pour les audits de sécurité et d'accès, et vous permettre d'en savoir plus sur votre base de clients et de comprendre votre facture Amazon S3. Pour obtenir des instructions pour l'activation de la journalisation des accès au serveur, veuillez consulter Enregistrement de demandes avec journalisation des accès au serveur.

Envisagez également de mettre en œuvre des contrôles de détection continus en utilisant le s3-bucket-logging-enabled AWS Config règle gérée.

AWS CloudTrail fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un Service AWS dans Amazon S3. Vous pouvez utiliser les informations collectées par CloudTrail pour déterminer les éléments suivants :

Par exemple, vous pouvez identifier les CloudTrail entrées pour les PUT actions qui affectent l'accès aux donnéesPutBucketAcl, en particulierPutObjectAcl,PutBucketPolicy, etPutBucketWebsite.

Lorsque vous configurez votre Compte AWS, CloudTrail est activé par défaut. Vous pouvez consulter les événements récents dans la CloudTrail console. Pour créer un enregistrement continu de l'activité et des événements de vos compartiments Amazon S3, vous pouvez créer un suivi dans la CloudTrail console. Pour plus d'informations, consultez Journalisation des événements de données dans le Guide de l'utilisateur AWS CloudTrail .

Lorsque vous créez un suivi, vous pouvez le configurer CloudTrail pour consigner les événements liés aux données. Les événements de données sont des enregistrements d'opérations de ressources effectuées sur ou dans une ressource. Dans Amazon S3, les événements de données enregistrent l'APIactivité au niveau de l'objet pour des compartiments individuels. CloudTrail prend en charge un sous-ensemble d'APIopérations au niveau des objets Amazon S3, telles queGetObject, etDeleteObject. PutObject Pour plus d'informations sur le CloudTrail fonctionnement d'Amazon S3, consultezJournalisation des API appels Amazon S3 à l'aide de AWS CloudTrail. Dans la console Amazon S3, vous pouvez également configurer vos compartiments S3 pour Activation de la journalisation des CloudTrail événements pour les compartiments et les objets S3.

AWS Config fournit une règle gérée (cloudtrail-s3-dataevents-enabled) que vous pouvez utiliser pour vérifier qu'au moins un journal CloudTrail enregistre des événements de données pour vos compartiments S3. Pour plus d’informations, consultez .cloudtrail-s3-dataevents-enabled dans le Manuel du développeur AWS Config .

Plusieurs des meilleures pratiques répertoriées dans cette rubrique suggèrent de créer des AWS Config règles. AWS Config vous aide à évaluer, auditer et évaluer les configurations de vos AWS ressources. AWS Config surveille les configurations des ressources afin que vous puissiez évaluer les configurations enregistrées par rapport aux configurations sécurisées souhaitées. Avec AWS Config, vous pouvez effectuer les opérations suivantes :

Son utilisation AWS Config peut vous aider à simplifier l'audit de conformité, l'analyse de sécurité, la gestion des modifications et le dépannage opérationnel. Pour plus d'informations, consultez la section Configuration AWS Config avec la console dans le guide du AWS Config développeur. Lors de la spécification des types de ressources à enregistrer, assurez-vous d'inclure les ressources Amazon S3.

Pour un exemple d'utilisation AWS Config, consultez Comment utiliser AWS Config pour surveiller et répondre aux compartiments Amazon S3 autorisant un accès public sur le blog sur la AWS sécurité.

S3 Storage Lens est une fonction d'analyse du stockage dans le cloud que vous pouvez utiliser pour obtenir une visibilité à l'échelle de l'organisation sur l'utilisation et l'activité du stockage d'objets. S3 Storage Lens analyse également les métriques de stockage pour fournir des recommandations contextuelles afin d'aider à réduire les coûts de stockage et à appliquer les bonnes pratiques de protection des données.

Avec S3 Storage Lens, vous pouvez utiliser des métriques pour générer des informations récapitulatives, telles que la quantité de stockage dont vous disposez dans l'ensemble de votre organisation ou les compartiments et préfixes qui connaissent la croissance la plus rapide. Vous pouvez également utiliser les métriques S3 Storage Lens pour identifier des opportunités d'optimisation des coûts, mettre en œuvre les bonnes pratiques de protection des données et de gestion des accès, et améliorer les performances des charges de travail d'application.

Par exemple, vous pouvez identifier les compartiments qui sont dépourvus de règles de cycle de vie S3 pour abandonner les chargements partitionnés non terminés datant de plus de 7 jours. Vous pouvez également identifier les compartiments qui ne respectent pas les bonnes pratiques de protection des données, telles que l'utilisation de la réplication S3 ou de la gestion des versions S3. Pour plus d'informations, consultez la section Présentation d'Amazon S3 Storage Lens.

Nous vous recommandons de vérifier régulièrement les conseils de sécurité publiés dans Trusted Advisor pour votre Compte AWS. En particulier, recherchez des avertissements concernant les compartiments Amazon S3 avec des autorisations permettant un libre accès. Vous pouvez le faire par programmation en utilisant describe-trusted-advisor-checks.

De plus, surveillez activement l'adresse e-mail principale enregistrée pour chacun de vos Comptes AWS. AWS utilise cette adresse e-mail pour vous contacter au sujet de problèmes de sécurité émergents susceptibles de vous affecter.

AWS les problèmes opérationnels ayant un large impact sont publiés sur le site AWS Health Dashboard - Santé du service. Les problèmes opérationnels sont également publiés dans les comptes individuels via le tableau de bord AWS Health Dashboard. Pour en savoir plus, consultez la documentation AWS Health.

Amazon GuardDuty est un service de détection des menaces qui surveille en permanence votre activité Comptes AWS et votre charge de travail pour détecter toute activité malveillante et fournit des résultats de sécurité détaillés à des fins de visibilité et de correction.

Avec la fonctionnalité de protection S3 intégrée GuardDuty, vous pouvez configurer GuardDuty pour analyser les événements AWS CloudTrail de gestion et de données relatifs à vos ressources Amazon S3. GuardDuty surveille ensuite ces événements pour détecter toute activité malveillante et suspecte. Pour éclairer l'analyse et identifier les risques de sécurité potentiels, GuardDuty utilise des flux de renseignements sur les menaces et l'apprentissage automatique.

GuardDuty peut surveiller différents types d'activité pour vos ressources Amazon S3. Par exemple, les événements CloudTrail de gestion pour Amazon S3 incluent des opérations au niveau du compartiment, telles que ListBucketsDeleteBucket, et. PutBucketReplication CloudTrail les événements de données pour Amazon S3 incluent des opérations au niveau des objets, telles que GetObjectListObjects, et. PutObject S'il GuardDuty détecte une activité anormale ou potentiellement malveillante, il génère une constatation pour vous en informer.

Pour plus d'informations, consultez Amazon S3 Protection dans Amazon GuardDuty dans le guide de GuardDuty l'utilisateur Amazon.

Amazon Detective simplifie le processus d'investigation et vous aide à mener des investigations de sécurité plus rapides et plus efficaces. Detective fournit des agrégations de données, des résumés et un contexte prédéfinis qui peuvent vous aider à analyser et à évaluer la nature et l'étendue des éventuels problèmes de sécurité.

Detective extrait automatiquement les événements temporels, tels que les API appels de vos AWS ressources AWS CloudTrail et les journaux Amazon VPC Flow Logs. Il intègre également les résultats générés par Amazon GuardDuty. Detective utilise ensuite le machine learning, l'analyse statistique et la théorie des graphes pour générer des visualisations qui vous aideront à mener plus rapidement des investigations de sécurité efficaces.

Ces visualisations fournissent une vue unifiée et interactive des comportements des ressources et de leurs interactions au fil du temps. Vous pouvez explorer ce graphique de comportement pour examiner les actions potentiellement malveillantes, telles que les tentatives de connexion infructueuses ou les API appels suspects. Vous pouvez également voir comment ces actions affectent les ressources, notamment les objets et les compartiments S3.

Pour plus d'informations, consultez le Guide d'administration Amazon Detective.

AWS Identity and Access Management Access Analyzer (IAMAccess Analyzer) peut vous aider à identifier les ressources partagées avec une entité externe. Vous pouvez également utiliser IAM Access Analyzer pour valider IAM les politiques par rapport à la grammaire des politiques et aux meilleures pratiques, et générer des IAM politiques basées sur l'activité d'accès dans vos AWS CloudTrail journaux.

IAMAccess Analyzer utilise un raisonnement basé sur la logique pour analyser les politiques relatives aux ressources dans votre AWS environnement, telles que les politiques relatives aux compartiments. Avec IAM Access Analyzer for S3, vous êtes alerté lorsqu'un compartiment S3 est configuré pour autoriser l'accès à toute personne sur Internet ou autre Comptes AWS, y compris à des comptes extérieurs à votre organisation. Par exemple, IAM Access Analyzer for S3 peut signaler qu'un compartiment dispose d'un accès en lecture ou en écriture fourni par le biais d'une liste de contrôle d'accès aux compartiments (ACL), d'une politique de compartiment, d'une politique de point d'accès multirégional ou d'une politique de point d'accès. Pour chaque compartiment public ou partagé, vous recevez des résultats qui indiquent la source et le niveau d'accès public ou partagé. Grâce à ces résultats, vous pouvez prendre des mesures correctives immédiates et précises pour restaurer l'accès au compartiment comme vous l'aviez prévu.

Pour plus d’informations, consultez Révision de l'accès aux compartiments à l'aide IAM d'Access Analyzer pour S3.

Amazon Macie est un service de sécurité qui découvre les données sensibles au moyen du machine learning et de la correspondance de modèles. Macie fournit une visibilité sur les risques liés à la sécurité des données et permet une protection automatisée contre ces risques. Grâce à Macie, vous pouvez automatiser la découverte et la création de rapports de données sensibles dans votre parc de données Amazon S3 afin de mieux comprendre les données stockées par votre organisation dans S3.

Pour détecter les données sensibles avec Macie, vous pouvez utiliser des critères et des techniques intégrés, conçus pour détecter une liste étendue et croissante de types de données sensibles pour de nombreux pays et régions. Ces types de données sensibles incluent plusieurs types d'informations personnellement identifiables (PII), de données financières et de données d'identification. Vous pouvez également utiliser des critères personnalisés que vous définissez : des expressions régulières qui définissent des modèles de texte à mettre en correspondance et, éventuellement, des séquences de caractères et des règles de proximité pour affiner les résultats.

Si Macie détecte des données sensibles dans un objet S3, Macie génère un résultat de sécurité pour vous en informer. Ce résultat fournit des informations sur l'objet affecté, les types et le nombre d'occurrences des données sensibles découvertes par Macie, ainsi que des détails supplémentaires pour vous aider à mener des investigations sur le compartiment et l'objet S3 affectés. Pour plus d'informations, consultez le Guide de l'utilisateur Amazon Macie.

AWS Security Hub est un service de gestion de la posture de sécurité qui effectue des vérifications des meilleures pratiques de sécurité, regroupe les alertes et les résultats provenant de sources multiples dans un format unique et permet des mesures correctives automatisées.

Security Hub collecte et fournit des données relatives aux résultats de AWS Partner Network sécurité à partir de solutions de sécurité intégrées Services AWS, notamment Amazon Detective GuardDuty, Amazon, IAM Access Analyzer et Amazon Macie. Il génère également ses propres conclusions en effectuant des contrôles de sécurité continus et automatisés basés sur les AWS meilleures pratiques et les normes du secteur prises en charge.

Security Hub met ensuite en corrélation et consolide les résultats entre les fournisseurs, afin de vous aider à hiérarchiser et à traiter les résultats les plus significatifs. Il prend également en charge les actions personnalisées, que vous pouvez utiliser pour invoquer des réponses ou des actions de correction pour des classes spécifiques de résultats.

Avec Security Hub, vous pouvez évaluer l'état de sécurité et de conformité de vos ressources Amazon S3, dans le cadre d'une analyse plus large du niveau de sécurité de votre entreprise au niveau individuel Régions AWS et dans plusieurs régions. Cela inclut l'analyse des tendances en matière de sécurité et l'identification des problèmes de sécurité prioritaires. Vous pouvez également agréger les résultats de plusieurs Régions AWS, ainsi que surveiller et traiter les données de résultats agrégées provenant d'une seule région.

Pour plus d'informations, consultez Contrôles Amazon Simple Storage Service dans le Guide de l'utilisateur AWS Security Hub .