Praktik Terbaik Keamanan untuk Amazon S3 - Amazon Simple Storage Service
Praktik terbaik keamanan Amazon S3Praktik Terbaik Pemantauan dan Audit Amazon S3

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik Terbaik Keamanan untuk Amazon S3

Amazon S3 menyediakan sejumlah fitur keamanan untuk dipertimbangkan ketika Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai rekomendasi yang bermanfaat, bukan sebagai resep.

Praktik terbaik keamanan Amazon S3

Praktik terbaik berikut untuk Amazon S3 dapat membantu mencegah insiden keamanan.

Nonaktifkan daftar kontrol akses (ACLs)

S3 Object Ownership adalah setelan tingkat ember Amazon S3 yang dapat Anda gunakan untuk mengontrol kepemilikan objek yang diunggah ke bucket Anda dan untuk menonaktifkan atau mengaktifkan. ACLs Secara default, Kepemilikan Objek disetel ke setelan diberlakukan pemilik Bucket dan semuanya ACLs dinonaktifkan. Saat ACLs dinonaktifkan, pemilik bucket memiliki semua objek di bucket dan mengelola akses ke data secara eksklusif menggunakan kebijakan manajemen akses.

Mayoritas kasus penggunaan modern di Amazon S3 tidak lagi memerlukan penggunaan daftar kontrol akses () ACLs. Kami menyarankan Anda menonaktifkanACLs, kecuali dalam keadaan yang tidak biasa di mana Anda harus mengontrol akses untuk setiap objek secara individual. Untuk menonaktifkan ACLs dan mengambil kepemilikan setiap objek di bucket Anda, terapkan pengaturan yang diberlakukan pemilik bucket untuk Kepemilikan Objek S3. Saat Anda menonaktifkanACLs, Anda dapat dengan mudah memelihara ember dengan objek yang diunggah oleh yang berbeda Akun AWS.

Kapan ACLs dinonaktifkan kontrol akses untuk data Anda didasarkan pada kebijakan, seperti berikut ini:

  • AWS Identity and Access Management (IAM) kebijakan pengguna

  • Kebijakan bucket S3

  • Kebijakan titik akhir cloud pribadi virtual (VPC)

  • AWS Organizations kebijakan kontrol layanan (SCPs)

Menonaktifkan ACLs menyederhanakan manajemen izin dan audit. ACLsdinonaktifkan untuk ember baru secara default. Anda juga dapat menonaktifkan ACLs untuk ember yang ada. Jika Anda memiliki bucket yang sudah memiliki objek di dalamnya, setelah Anda menonaktifkanACLs, objek dan bucket ACLs tidak lagi menjadi bagian dari proses evaluasi akses. Sebaliknya, akses diberikan atau ditolak berdasarkan kebijakan.

Sebelum Anda menonaktifkanACLs, pastikan Anda melakukan hal berikut:

  • Tinjau kebijakan bucket Anda untuk memastikan bahwa kebijakan tersebut mencakup semua cara yang ingin Anda berikan akses ke bucket di luar akun Anda.

  • Setel ulang bucket Anda ACL ke default (kontrol penuh ke pemilik bucket).

Setelah Anda menonaktifkanACLs, perilaku berikut terjadi:

  • Bucket Anda hanya menerima PUT permintaan yang tidak menentukan PUT permintaan ACL atau permintaan dengan kontrol ACLs penuh pemilik bucket. Ini ACLs termasuk bentuk bucket-owner-full-control kalengan ACL atau setara dari ini ACL yang diekspresikan dalamXML.

  • Aplikasi yang ada yang mendukung kontrol penuh pemilik bucket ACLs tidak akan berdampak.

  • PUTpermintaan yang berisi lainnya ACLs (misalnya, hibah khusus untuk tertentu Akun AWS) gagal dan mengembalikan kode HTTP status 400 (Bad Request) dengan kode kesalahanAccessControlListNotSupported.

Untuk informasi selengkapnya, lihat Mengontrol kepemilikan objek dan menonaktifkan bucket ACLs Anda.

Pastikan bucket Amazon S3 Anda menggunakan kebijakan yang benar dan tidak dapat diakses publik

Kecuali jika Anda secara tegas meminta siapa pun di internet untuk dapat membaca atau menulis ke bucket S3 Anda, pastikan bucket S3 Anda tidak tersedia untuk umum. Berikut ini adalah beberapa langkah yang dapat Anda lakukan untuk memblokir akses publik:

  • Gunakan Blokir Akses Publik S3. Dengan Blokir Akses Publik S3, Anda dapat dengan mudah menyiapkan kontrol terpusat untuk membatasi akses publik ke sumber daya Amazon S3 Anda. Kontrol terpusat ini ditegakkan terlepas dari bagaimana sumber daya dibuat. Untuk informasi selengkapnya, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda.

  • Identifikasi kebijakan bucket Amazon S3 yang mengizinkan identitas wildcard seperti "Principal": "*" (yang secara efektif berarti “siapa pun”). Cari juga kebijakan yang memungkinkan tindakan wildcard "*" (yang secara efektif memungkinkan pengguna melakukan tindakan apa pun di bucket Amazon S3).

  • Demikian pula, cari daftar kontrol akses bucket Amazon S3 (ACLs) yang menyediakan akses baca, tulis, atau penuh ke “Semua Orang” atau “Semua yang diautentikasi AWS pengguna.”

  • Gunakan ListBuckets API operasi untuk memindai semua bucket Amazon S3 Anda. Kemudian, gunakan GetBucketAcl, GetBucketWebsite, dan GetBucketPolicy untuk menentukan apakah setiap bucket memiliki kontrol akses yang sesuai dan konfigurasi yang sesuai.

  • Gunakan AWS Trusted Advisoruntuk memeriksa implementasi Amazon S3 Anda.

  • Pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung dengan menggunakan s3-bucket-public-read-prohibited dan s3-bucket-public-write-prohibiteddikelola Aturan AWS Config.

Untuk informasi selengkapnya, lihat Identity and Access Management untuk Amazon S3.

Identifikasi potensi ancaman terhadap bucket Amazon S3 Anda dengan menggunakan Amazon GuardDuty

Amazon GuardDuty adalah layanan pendeteksi ancaman yang mengidentifikasi potensi ancaman terhadap akun, container, beban kerja, dan data di dalam akun Anda AWS lingkungan. Dengan menggunakan model machine learning (ML), serta kemampuan deteksi anomali dan ancaman, Amazon GuardDuty terus memantau berbagai sumber data untuk mengidentifikasi dan memprioritaskan potensi risiko keamanan dan aktivitas berbahaya di lingkungan Anda. Saat Anda mengaktifkan GuardDuty, ia menawarkan deteksi ancaman untuk sumber data dasar yang mencakup AWS CloudTrail acara manajemen, log VPC aliran, dan DNS log. Untuk memperluas deteksi ancaman ke peristiwa pesawat data di bucket S3, Anda dapat mengaktifkan fitur Perlindungan GuardDuty S3. Fitur ini mendeteksi ancaman seperti eksfiltrasi data dan akses mencurigakan ke bucket S3 melalui node Tor. GuardDutyjuga menetapkan pola dasar normal di lingkungan Anda dan ketika mengidentifikasi perilaku yang berpotensi anomali, ia memberikan informasi kontekstual untuk membantu Anda memulihkan ember S3 yang berpotensi dikompromikan atau AWS kredensialnya. Untuk informasi lebih lanjut, lihat GuardDuty.

Terapkan akses hak akses paling rendah

Saat memberikan izin, Anda memutuskan siapa yang mendapatkan izin yang menjadi sumber daya Amazon S3. Anda mengaktifkan tindakan tertentu yang ingin Anda izinkan pada sumber daya tersebut. Oleh karena itu, kami menyarankan Anda hanya memberikan izin yang diperlukan untuk melaksanakan tugas. Menerapkan akses hak akses paling rendah adalah hal mendasar dalam mengurangi risiko keamanan dan dampak yang dapat diakibatkan oleh kesalahan atau niat jahat.

Alat bantu berikut tersedia untuk menerapkan akses hak akses paling rendah:

Untuk panduan tentang apa yang harus dipertimbangkan ketika memilih satu atau beberapa mekanisme sebelumnya, lihat Identity and Access Management untuk Amazon S3.

Gunakan IAM peran untuk aplikasi dan Layanan AWS yang membutuhkan akses Amazon S3

Agar aplikasi berjalan di Amazon EC2 atau lainnya Layanan AWS untuk mengakses sumber daya Amazon S3, mereka harus menyertakan yang valid AWS kredensialnya di AWS APIpermintaan. Kami merekomendasikan untuk tidak menyimpan AWS kredensil langsung di aplikasi atau instans AmazonEC2. Ini adalah kredensial jangka panjang yang tidak dirotasi secara otomatis dan dapat menimbulkan dampak bisnis yang signifikan jika dibobol.

Sebagai gantinya, gunakan IAM peran untuk mengelola kredensi sementara untuk aplikasi atau layanan yang perlu mengakses Amazon S3. Saat Anda menggunakan peran, Anda tidak perlu mendistribusikan kredensi jangka panjang (seperti nama pengguna dan kata sandi atau kunci akses) ke instans Amazon EC2 atau Layanan AWS, seperti AWS Lambda. Peran menyediakan izin sementara yang dapat digunakan aplikasi saat mereka melakukan panggilan ke orang lain AWS sumber daya.

Untuk informasi selengkapnya, lihat topik berikut di Panduan IAM Pengguna:

Pertimbangkan untuk mengenkripsi data diam

Anda memiliki opsi berikut untuk melindungi data diam di Amazon S3:

  • Enkripsi sisi server — Semua bucket Amazon S3 memiliki enkripsi yang dikonfigurasi secara default, dan semua objek baru yang diunggah ke bucket S3 secara otomatis dienkripsi saat istirahat. Enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) adalah konfigurasi enkripsi default untuk setiap bucket di Amazon S3. Untuk menggunakan jenis enkripsi yang berbeda, Anda dapat menentukan jenis enkripsi di sisi server yang akan digunakan dalam permintaan PUT S3, atau Anda dapat mengatur konfigurasi enkripsi default di bucket tujuan.

    Amazon S3 juga menyediakan opsi enkripsi sisi server ini:

    • Enkripsi sisi server dengan AWS Key Management Service (AWS KMS) kunci (SSE-KMS)

    • Enkripsi sisi server dua lapis dengan AWS Key Management Service (AWS KMS) kunci (DSSE-KMS)

    • Enkripsi sisi server dengan kunci yang disediakan pelanggan (-C) SSE

    Untuk informasi selengkapnya, lihat Melindungi data dengan enkripsi di sisi klien.

  • Enkripsi di sisi klien–Enkripsikan data sisi klien dan unggah data yang dienkripsi ke Amazon S3. Dalam hal ini, Anda mengelola proses enkripsi, kunci enkripsi, dan alat terkait. Seperti enkripsi di sisi server, enkripsi di sisi klien dapat membantu mengurangi risiko dengan mengenkripsi data dengan kunci yang disimpan dalam mekanisme yang berbeda dari mekanisme yang menyimpan data itu sendiri.

    Amazon S3 menyediakan beberapa opsi enkripsi di sisi klien. Untuk informasi selengkapnya, lihat Melindungi data menggunakan enkripsi di sisi klien.

Menerapkan enkripsi data bergerak

Anda dapat menggunakan HTTPS (TLS) untuk membantu mencegah penyerang potensial menguping atau memanipulasi lalu lintas jaringan dengan menggunakan atau serangan serupa. person-in-the-middle Kami menyarankan untuk mengizinkan hanya koneksi terenkripsi melalui HTTPS (TLS) dengan menggunakan aws:SecureTransportkondisi dalam kebijakan bucket Amazon S3 Anda.

penting

Kami menyarankan agar aplikasi Anda tidak menyematkan sertifikat Amazon S3 TLS sebagai AWS tidak mendukung penyematan sertifikat tepercaya publik. S3 secara otomatis memperbarui sertifikat dan perpanjangan dapat terjadi kapan saja sebelum sertifikat kedaluwarsa. Memperbarui sertifikat menghasilkan key pair public-private baru. Jika Anda telah menyematkan sertifikat S3 yang baru saja diperbarui dengan kunci publik baru, Anda tidak akan dapat terhubung ke S3 hingga aplikasi Anda menggunakan sertifikat baru.

Juga pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung dengan menggunakan s3-bucket-ssl-requests-onlydikelola AWS Config aturan.

Pertimbangkan untuk menggunakan Kunci Objek S3

Dengan S3 Object Lock, Anda dapat menyimpan objek dengan menggunakan model “Write Once Read Many” (WORM). Kunci Objek S3 dapat membantu mencegah penghapusan data yang tidak disengaja atau tidak tepat. Misalnya, Anda dapat menggunakan S3 Object Lock untuk membantu melindungi AWS CloudTrail log.

Untuk informasi selengkapnya, lihat Menggunakan Kunci Objek S3.

Aktifkan Penentuan Versi S3

Penentuan Versi S3 adalah cara menyimpan beberapa varian objek dalam bucket yang sama. Anda dapat menggunakan Penentuan Versi untuk menyimpan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan dalam bucket Anda. Dengan Penentuan Versi, Anda dapat dengan mudah memulihkan dari tindakan pengguna yang tidak diinginkan, serta kegagalan aplikasi.

Juga pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung dengan menggunakan s3-bucket-versioning-enableddikelola AWS Config aturan.

Untuk informasi selengkapnya, lihat Menggunakan Penentuan Versi dalam bucket S3.

Pertimbangkan untuk menggunakan Replikasi Lintas Wilayah S3

Meskipun Amazon S3 menyimpan data Anda di berbagai Zona Ketersediaan yang berbeda secara geografis secara default, persyaratan kepatuhan mungkin mengatur bahwa Anda menyimpan data dengan jarak lebih jauh. Dengan S3 Cross-Region Replication (CRR), Anda dapat mereplikasi data antara jarak jauh Wilayah AWS untuk membantu memenuhi persyaratan ini. CRRmemungkinkan penyalinan objek secara otomatis dan asinkron di seluruh ember dalam berbagai Wilayah AWS Untuk informasi selengkapnya, lihat Mereplikasi ikhtisar objek.

catatan

CRRmengharuskan bucket S3 sumber dan tujuan agar versi diaktifkan.

Juga pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung dengan menggunakan s3-bucket-replication-enableddikelola AWS Config aturan.

Pertimbangkan untuk menggunakan VPC titik akhir untuk akses Amazon S3

Titik akhir virtual private cloud (VPC) untuk Amazon S3 adalah entitas logis dalam VPC a yang memungkinkan konektivitas hanya ke Amazon S3. VPCendpoint dapat membantu mencegah lalu lintas melintasi internet terbuka.

VPCtitik akhir untuk Amazon S3 menyediakan beberapa cara untuk mengontrol akses ke data Amazon S3 Anda:

  • Anda dapat mengontrol permintaan, pengguna, atau grup yang diizinkan melalui VPC titik akhir tertentu dengan menggunakan kebijakan bucket S3.

  • Anda dapat mengontrol VPC titik akhir VPCs atau titik akhir mana yang memiliki akses ke bucket S3 Anda dengan menggunakan kebijakan bucket S3.

  • Anda dapat membantu mencegah eksfiltrasi data dengan menggunakan VPC yang tidak memiliki gateway internet.

Untuk informasi selengkapnya, lihat Mengontrol akses dari VPC titik akhir dengan kebijakan bucket.

Gunakan terkelola AWS layanan keamanan untuk memantau keamanan data

Beberapa dikelola AWS Layanan keamanan dapat membantu Anda mengidentifikasi, menilai, dan memantau risiko keamanan dan kepatuhan untuk data Amazon S3 Anda. Layanan ini juga dapat membantu Anda melindungi data Anda dari risiko tersebut. Layanan ini mencakup kemampuan deteksi, pemantauan, dan perlindungan otomatis yang dirancang untuk menskalakan dari sumber daya Amazon S3 untuk satu Akun AWS ke sumber daya untuk organisasi yang mencakup ribuan akun.

Untuk informasi selengkapnya, lihat Memantau keamanan data dengan terkelola AWS layanan keamanan.

Praktik Terbaik Pemantauan dan Audit Amazon S3

Praktik terbaik berikut untuk Amazon S3 dapat membantu mendeteksi potensi kelemahan dan insiden keamanan.

Identifikasi dan audit semua bucket Amazon S3 Anda

Identifikasi aset IT Anda adalah aspek penting dari tata kelola dan keamanan. Anda perlu memiliki visibilitas semua sumber daya Amazon S3 Anda untuk menilai postur keamanan dan mengambil tindakan di area kelemahan potensial. Untuk mengaudit sumber daya Anda, kami sarankan melakukan hal berikut ini:

  • Gunakan Editor Tag untuk mengidentifikasi dan menandai sumber daya yang sensitif terhadap keamanan atau audit, kemudian gunakan tag tersebut saat Anda perlu mencari sumber daya ini. Untuk informasi selengkapnya, lihat Mencari Sumber Daya untuk Ditandai di Penandaan AWS Panduan Pengguna Sumber Daya.

  • Gunakan Inventaris S3 untuk mengaudit dan melaporkan replikasi dan status enkripsi objek Anda untuk kebutuhan bisnis, kepatuhan, dan regulasi. Untuk informasi selengkapnya, lihat Inventaris Amazon S3.

  • Buat grup sumber daya untuk sumber daya Amazon S3 Anda. Untuk informasi selengkapnya, lihat Apa itu grup sumber daya? di AWS Resource Groups Panduan Pengguna.

Melaksanakan pemantauan dengan menggunakan AWS alat pemantauan

Pemantauan adalah bagian penting dalam menjaga keandalan, keamanan, ketersediaan, dan kinerja Amazon S3 dan Anda AWS solusi. AWS menyediakan beberapa alat dan layanan untuk membantu Anda memantau Amazon S3 dan yang lain Layanan AWS. Misalnya, Anda dapat memantau CloudWatch metrik Amazon untuk Amazon S3, khususnya metrik,, PutRequests dan GetRequests metrik. 4xxErrors DeleteRequests Untuk informasi selengkapnya, silakan lihat Memantau metrik dengan Amazon CloudWatch dan Pemantauan Amazon S3.

Untuk contoh kedua, lihat Contoh: Aktivitas Bucket Amazon S3. Contoh ini menjelaskan cara membuat CloudWatch alarm yang dipicu saat API panggilan Amazon S3 dibuat PUT atau DELETE kebijakan bucket, siklus hidup bucket, atau konfigurasi replikasi bucket, atau ke bucket. PUT ACL

Aktifkan log akses server Amazon S3

Pencatatan akses server memberikan catatan detail permintaan yang dibuat ke bucket. Log akses server dapat membantu Anda dalam keamanan dan audit akses, membantu Anda mempelajari basis pelanggan Anda, dan memahami tagihan Amazon S3. Untuk petunjuk tentang mengaktifkan log akses server, lihat Pencatatan permintaan dengan pencatatan akses server.

Juga pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung dengan menggunakan s3-bucket-logging-enabled AWS Config aturan yang dikelola.

Gunakan AWS CloudTrail

AWS CloudTrail menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau Layanan AWS di Amazon S3. Anda dapat menggunakan informasi yang dikumpulkan oleh CloudTrail untuk menentukan hal-hal berikut:

  • Permintaan yang diajukan ke Amazon S3

  • Alamat IP dari mana permintaan itu dibuat

  • Siapa yang membuat permintaan

  • Kapan permintaan dibuat

  • Detail tambahan tentang permintaan

Misalnya, Anda dapat mengidentifikasi CloudTrail entri untuk PUT tindakan yang memengaruhi akses data, khususnyaPutBucketAcl, PutObjectAclPutBucketPolicy, danPutBucketWebsite.

Saat Anda mengatur Akun AWS, CloudTrail diaktifkan secara default. Anda dapat melihat peristiwa terbaru di CloudTrail konsol. Untuk membuat catatan aktivitas dan peristiwa yang sedang berlangsung untuk bucket Amazon S3, Anda dapat membuat jejak di konsol. CloudTrail Untuk informasi selengkapnya, lihat Mencatat peristiwa data di AWS CloudTrail Panduan Pengguna.

Saat membuat jejak, Anda dapat mengonfigurasi CloudTrail untuk mencatat peristiwa data. Peristiwa data adalah catatan operasi sumber daya yang dilakukan pada atau di dalam sumber daya. Di Amazon S3, peristiwa data merekam API aktivitas tingkat objek untuk masing-masing bucket. CloudTrail mendukung subset operasi API tingkat objek Amazon S3, sepertiGetObject,, dan. DeleteObject PutObject Untuk informasi selengkapnya tentang cara CloudTrail bekerja dengan Amazon S3, lihat. Mencatat panggilan Amazon S3 menggunakan API AWS CloudTrail Di konsol Amazon S3, Anda juga dapat mengonfigurasi bucket S3 Anda ke Mengaktifkan pencatatan CloudTrail peristiwa untuk bucket dan objek S3.

AWS Config menyediakan aturan terkelola (cloudtrail-s3-dataevents-enabled) yang dapat Anda gunakan untuk mengonfirmasi bahwa setidaknya satu CloudTrail jejak mencatat peristiwa data untuk bucket S3 Anda. Untuk informasi selengkapnya, silakan lihat cloudtrail-s3-dataevents-enableddi AWS Config Panduan Pengembang.

Aktifkan AWS Config

Beberapa praktik terbaik yang tercantum dalam topik ini menyarankan untuk membuat AWS Config aturan. AWS Config membantu Anda menilai, mengaudit, dan mengevaluasi konfigurasi AWS sumber daya. AWS Config memantau konfigurasi sumber daya sehingga Anda dapat mengevaluasi konfigurasi yang direkam terhadap konfigurasi aman yang diinginkan. Dengan AWS Config, Anda dapat melakukan hal berikut:

  • Tinjau perubahan konfigurasi dan hubungan antara AWS sumber daya

  • Selidiki riwayat konfigurasi sumber daya terperinci

  • Tentukan kepatuhan Anda secara keseluruhan terhadap konfigurasi yang ditentukan dalam pedoman internal Anda

Penggunaan AWS Config dapat membantu Anda menyederhanakan audit kepatuhan, analisis keamanan, manajemen perubahan, dan pemecahan masalah operasional. Untuk informasi selengkapnya, lihat Menyiapkan AWS Config dengan Konsol di AWS Config Panduan Pengembang. Saat menentukan jenis sumber daya yang akan dicatat, pastikan Anda menyertakan sumber daya Amazon S3.

penting

AWS Config aturan terkelola hanya mendukung bucket tujuan umum saat mengevaluasi sumber daya Amazon S3. AWS Config tidak merekam perubahan konfigurasi untuk bucket direktori. Untuk informasi selengkapnya, silakan lihat AWS Config Aturan Terkelola dan Daftar AWS Config Aturan yang Dikelola di AWS Config Panduan Pengembang.

Untuk contoh cara menggunakan AWS Config, lihat Cara Menggunakan AWS Config Memantau dan Menanggapi Bucket Amazon S3 yang Memungkinkan Akses Publik di AWS Blog Keamanan.

Temukan data sensitif dengan menggunakan Amazon Macie

Amazon Macie adalah layanan keamanan yang menemukan data sensitif dengan menggunakan machine learning dan pencocokan pola. Macie memberikan visibilitas ke dalam risiko keamanan data, dan memungkinkan perlindungan otomatis terhadap risiko tersebut. Dengan Macie, Anda dapat mengotomatisasi penemuan dan pelaporan data sensitif di properti data Amazon S3 untuk mendapatkan pemahaman yang lebih baik tentang data yang disimpan organisasi Anda di S3.

Untuk mendeteksi data sensitif dengan Macie, Anda dapat menggunakan kriteria dan teknik bawaan yang dirancang untuk mendeteksi daftar jenis data sensitif yang besar dan berkembang untuk banyak negara dan wilayah. Tipe data sensitif ini mencakup beberapa jenis informasi yang dapat diidentifikasi secara pribadi (PII), data keuangan, dan data kredensil. Anda juga dapat menggunakan kriteria kustom yang Anda tetapkan, ekspresi reguler yang menentukan pola teks yang cocok dan, opsional, urutan karakter dan aturan kedekatan yang menyempurnakan hasil.

Jika Macie mendeteksi data sensitif dalam S3 Object, Macie akan membuat temuan keamanan untuk memberi tahu Anda. Temuan ini memberikan informasi tentang objek yang terpengaruh, jenis dan jumlah kemunculan data sensitif yang ditemukan Macie, dan detail tambahan untuk membantu Anda menyelidiki bucket dan S3 Object yang terpengaruh. Untuk informasi selengkapnya, lihat Panduan Pengguna Amazon Macie.

Menggunakan Lensa Penyimpanan S3

Lensa Penyimpanan S3 adalah fitur analisis penyimpanan cloud yang dapat Anda gunakan untuk mendapatkan visibilitas seluruh organisasi ke dalam penggunaan dan aktivitas penyimpanan objek. Lensa Penyimpanan S3 juga menganalisis metrik untuk memberikan rekomendasi kontekstual yang dapat Anda gunakan untuk mengoptimalkan biaya penyimpanan dan menerapkan praktik terbaik untuk melindungi data Anda.

Dengan Lensa Penyimpanan S3, Anda dapat menggunakan metrik untuk menghasilkan wawasan ringkasan, seperti mencari tahu berapa banyak penyimpanan yang Anda miliki di seluruh organisasi atau bucket dan prefiks mana yang paling cepat berkembang. Anda juga dapat menggunakan metrik Lensa Penyimpanan S3 untuk mengidentifikasi peluang optimasi biaya, menerapkan praktik terbaik untuk perlindungan data dan keamanan, serta meningkatkan kinerja beban kerja aplikasi.

Misalnya, Anda dapat mengidentifikasi bucket yang tidak memiliki aturan Siklus Hidup S3 untuk membatalkan unggahan multibagian yang tidak lengkap yang berusia lebih dari 7 hari. Anda juga dapat mengidentifikasi bucket yang tidak mengikuti praktik terbaik perlindungan data, seperti menggunakan Replikasi S3 atau Penentuan Versi S3. Untuk informasi selengkapnya, lihat Memahami Lensa Penyimpanan Amazon S3.

Monitor AWS penasihat keamanan

Kami menyarankan Anda secara teratur memeriksa nasihat keamanan yang diposting di Trusted Advisor untuk Anda Akun AWS. Secara khusus, cari peringatan tentang bucket Amazon S3 dengan “izin akses terbuka.” Anda dapat melakukan ini secara terprogram dengan menggunakan describe-trusted-advisor-checks.

Selanjutnya, secara aktif memantau alamat email utama yang terdaftar untuk masing-masing alamat email Anda Akun AWS. AWS menggunakan alamat email ini untuk menghubungi Anda tentang masalah keamanan yang muncul yang mungkin memengaruhi Anda.

AWS masalah operasional dengan dampak luas diposting di AWS Health Dashboard - Layanan kesehatan. Masalah operasional juga diposting ke akun individu melalui AWS Health Dashboard. Untuk informasi lebih lanjut, lihat AWS Health dokumentasi.