Praktik Terbaik Keamanan untuk Amazon S3 - Amazon Simple Storage Service
Praktik terbaik keamanan Amazon S3Praktik Terbaik Pemantauan dan Audit Amazon S3 Memantau keamanan data

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik Terbaik Keamanan untuk Amazon S3

Amazon S3 menyediakan sejumlah fitur keamanan untuk dipertimbangkan ketika Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai rekomendasi yang bermanfaat, bukan sebagai resep.

Praktik terbaik keamanan Amazon S3

Praktik terbaik berikut untuk Amazon S3 dapat membantu mencegah insiden keamanan.

Nonaktifkan daftar kontrol akses (ACLs)

S3 Object Ownership adalah setelan tingkat ember Amazon S3 yang dapat Anda gunakan untuk mengontrol kepemilikan objek yang diunggah ke bucket Anda dan untuk menonaktifkan atau mengaktifkan. ACLs Secara default, Kepemilikan Objek disetel ke setelan diberlakukan pemilik Bucket dan semuanya ACLs dinonaktifkan. Saat ACLs dinonaktifkan, pemilik bucket memiliki semua objek di bucket dan mengelola akses ke data secara eksklusif menggunakan kebijakan manajemen akses.

Mayoritas kasus penggunaan modern di Amazon S3 tidak lagi memerlukan penggunaan daftar kontrol akses () ACLs. Kami menyarankan Anda menonaktifkanACLs, kecuali dalam keadaan yang tidak biasa di mana Anda harus mengontrol akses untuk setiap objek secara individual. Untuk menonaktifkan ACLs dan mengambil kepemilikan setiap objek di bucket Anda, terapkan pengaturan yang diberlakukan pemilik bucket untuk Kepemilikan Objek S3. Saat Anda menonaktifkanACLs, Anda dapat dengan mudah memelihara ember dengan objek yang diunggah oleh berbeda Akun AWS.

Kapan ACLs dinonaktifkan kontrol akses untuk data Anda didasarkan pada kebijakan, seperti berikut ini:

  • AWS Identity and Access Management (IAM) kebijakan pengguna

  • Kebijakan bucket S3

  • Kebijakan titik akhir cloud pribadi virtual (VPC)

  • AWS Organizations kebijakan kontrol layanan (SCPs)

  • AWS Organizations kebijakan kontrol sumber daya (RCPs)

Menonaktifkan ACLs menyederhanakan manajemen izin dan audit. ACLsdinonaktifkan untuk ember baru secara default. Anda juga dapat menonaktifkan ACLs untuk ember yang ada. Jika Anda memiliki bucket yang sudah memiliki objek di dalamnya, setelah Anda menonaktifkanACLs, objek dan bucket ACLs tidak lagi menjadi bagian dari proses evaluasi akses. Sebaliknya, akses diberikan atau ditolak berdasarkan kebijakan.

Sebelum Anda menonaktifkanACLs, pastikan Anda melakukan hal berikut:

  • Tinjau kebijakan bucket Anda untuk memastikan bahwa kebijakan tersebut mencakup semua cara yang ingin Anda berikan akses ke bucket di luar akun Anda.

  • Setel ulang bucket Anda ACL ke default (kontrol penuh ke pemilik bucket).

Setelah Anda menonaktifkanACLs, perilaku berikut terjadi:

  • Bucket Anda hanya menerima PUT permintaan yang tidak menentukan PUT permintaan ACL atau permintaan dengan kontrol ACLs penuh pemilik bucket. Ini ACLs termasuk bentuk bucket-owner-full-control kalengan ACL atau setara dari ini ACL yang diekspresikan dalamXML.

  • Aplikasi yang ada yang mendukung kontrol penuh pemilik bucket ACLs tidak akan berdampak.

  • PUTpermintaan yang berisi lainnya ACLs (misalnya, hibah khusus untuk tertentu Akun AWS) gagal dan mengembalikan kode HTTP status 400 (Bad Request) dengan kode AccessControlListNotSupported kesalahan.

Untuk informasi selengkapnya, lihat Mengontrol kepemilikan objek dan menonaktifkan bucket ACLs Anda.

Pastikan bucket Amazon S3 Anda menggunakan kebijakan yang benar dan tidak dapat diakses publik

Kecuali jika Anda secara tegas meminta siapa pun di internet untuk dapat membaca atau menulis ke bucket S3 Anda, pastikan bucket S3 Anda tidak tersedia untuk umum. Berikut ini adalah beberapa langkah yang dapat Anda lakukan untuk memblokir akses publik:

  • Gunakan Blokir Akses Publik S3. Dengan Blokir Akses Publik S3, Anda dapat dengan mudah menyiapkan kontrol terpusat untuk membatasi akses publik ke sumber daya Amazon S3 Anda. Kontrol terpusat ini ditegakkan terlepas dari bagaimana sumber daya dibuat. Untuk informasi selengkapnya, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda.

  • Identifikasi kebijakan bucket Amazon S3 yang mengizinkan identitas wildcard seperti "Principal": "*" (yang secara efektif berarti “siapa pun”). Cari juga kebijakan yang memungkinkan tindakan wildcard "*" (yang secara efektif memungkinkan pengguna melakukan tindakan apa pun di bucket Amazon S3).

  • Demikian pula, cari daftar kontrol akses bucket Amazon S3 (ACLs) yang menyediakan baca, tulis, atau akses penuh ke “Semua Orang” atau “Setiap pengguna yang diautentikasi AWS .”

  • Gunakan ListBuckets API operasi untuk memindai semua bucket Amazon S3 Anda. Kemudian, gunakan GetBucketAcl, GetBucketWebsite, dan GetBucketPolicy untuk menentukan apakah setiap bucket memiliki kontrol akses yang sesuai dan konfigurasi yang sesuai.

  • Gunakan AWS Trusted Advisor untuk memeriksa implementasi Amazon S3.

  • Pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung dengan menggunakan s3-bucket-public-read-prohibited dan s3-bucket-public-write-prohibiteddikelola Aturan AWS Config.

Untuk informasi selengkapnya, lihat Identity and Access Management untuk Amazon S3.

Terapkan akses hak akses paling rendah

Saat memberikan izin, Anda memutuskan siapa yang mendapatkan izin yang menjadi sumber daya Amazon S3. Anda mengaktifkan tindakan tertentu yang ingin Anda izinkan pada sumber daya tersebut. Oleh karena itu, kami menyarankan Anda hanya memberikan izin yang diperlukan untuk melaksanakan tugas. Menerapkan akses hak akses paling rendah adalah hal mendasar dalam mengurangi risiko keamanan dan dampak yang dapat diakibatkan oleh kesalahan atau niat jahat.

Alat bantu berikut tersedia untuk menerapkan akses hak akses paling rendah:

Untuk panduan tentang apa yang harus dipertimbangkan ketika memilih satu atau beberapa mekanisme sebelumnya, lihat Identity and Access Management untuk Amazon S3.

Gunakan IAM peran untuk aplikasi dan Layanan AWS yang memerlukan akses Amazon S3

Agar aplikasi yang berjalan di Amazon EC2 atau lainnya dapat Layanan AWS mengakses sumber daya Amazon S3, mereka harus menyertakan AWS kredensi yang valid dalam permintaan mereka. AWS API Sebaiknya jangan menyimpan AWS kredensialnya secara langsung di aplikasi atau instans AmazonEC2. Ini adalah kredensial jangka panjang yang tidak dirotasi secara otomatis dan dapat menimbulkan dampak bisnis yang signifikan jika dibobol.

Sebagai gantinya, gunakan IAM peran untuk mengelola kredensi sementara untuk aplikasi atau layanan yang perlu mengakses Amazon S3. Saat Anda menggunakan peran, Anda tidak perlu mendistribusikan kredensi jangka panjang (seperti nama pengguna dan kata sandi atau kunci akses) ke EC2 instans Amazon atau Layanan AWS, seperti. AWS Lambda Peran ini menyediakan izin sementara yang dapat digunakan aplikasi saat mereka melakukan panggilan ke AWS sumber daya lain.

Untuk informasi selengkapnya, lihat topik berikut di Panduan IAM Pengguna:

Pertimbangkan untuk mengenkripsi data diam

Anda memiliki opsi berikut untuk melindungi data diam di Amazon S3:

  • Enkripsi sisi server — Semua bucket Amazon S3 memiliki enkripsi yang dikonfigurasi secara default, dan semua objek baru yang diunggah ke bucket S3 secara otomatis dienkripsi saat istirahat. Enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) adalah konfigurasi enkripsi default untuk setiap bucket di Amazon S3. Untuk menggunakan jenis enkripsi yang berbeda, Anda dapat menentukan jenis enkripsi di sisi server yang akan digunakan dalam permintaan PUT S3, atau Anda dapat mengatur konfigurasi enkripsi default di bucket tujuan.

    Amazon S3 juga menyediakan opsi enkripsi sisi server ini:

    • Enkripsi sisi server dengan kunci AWS Key Management Service (AWS KMS) (-) SSE KMS

    • Enkripsi sisi server dua lapis dengan kunci AWS Key Management Service () (AWS KMS-) DSSE KMS

    • Enkripsi sisi server dengan kunci yang disediakan pelanggan (-C) SSE

    Untuk informasi selengkapnya, lihat Melindungi data dengan enkripsi di sisi klien.

  • Enkripsi di sisi klien–Enkripsikan data sisi klien dan unggah data yang dienkripsi ke Amazon S3. Dalam hal ini, Anda mengelola proses enkripsi, kunci enkripsi, dan alat terkait. Seperti enkripsi di sisi server, enkripsi di sisi klien dapat membantu mengurangi risiko dengan mengenkripsi data dengan kunci yang disimpan dalam mekanisme yang berbeda dari mekanisme yang menyimpan data itu sendiri.

    Amazon S3 menyediakan beberapa opsi enkripsi di sisi klien. Untuk informasi selengkapnya, lihat Melindungi data menggunakan enkripsi di sisi klien.

Menerapkan enkripsi data bergerak

Anda dapat menggunakan HTTPS (TLS) untuk membantu mencegah penyerang potensial menguping atau memanipulasi lalu lintas jaringan dengan menggunakan atau serangan serupa. person-in-the-middle Kami menyarankan untuk mengizinkan hanya koneksi terenkripsi melalui HTTPS (TLS) dengan menggunakan aws:SecureTransportkondisi dalam kebijakan bucket Amazon S3 Anda.

penting

Kami menyarankan agar aplikasi Anda tidak menyematkan sertifikat Amazon S3 karena AWS tidak mendukung penyematan TLS sertifikat yang dipercaya publik. S3 secara otomatis memperbarui sertifikat dan perpanjangan dapat terjadi kapan saja sebelum sertifikat kedaluwarsa. Memperbarui sertifikat menghasilkan key pair public-private baru. Jika Anda telah menyematkan sertifikat S3 yang baru saja diperbarui dengan kunci publik baru, Anda tidak akan dapat terhubung ke S3 hingga aplikasi Anda menggunakan sertifikat baru.

Juga pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung dengan menggunakan s3-bucket-ssl-requests-only AWS Config aturan yang dikelola.

Pertimbangkan untuk menggunakan Kunci Objek S3

Dengan S3 Object Lock, Anda dapat menyimpan objek dengan menggunakan model “Write Once Read Many” (WORM). Kunci Objek S3 dapat membantu mencegah penghapusan data yang tidak disengaja atau tidak tepat. Misalnya, Anda dapat menggunakan S3 Object Lock untuk membantu melindungi AWS CloudTrail log Anda.

Untuk informasi selengkapnya, lihat Mengunci objek dengan Object Lock.

Aktifkan Penentuan Versi S3

Penentuan Versi S3 adalah cara menyimpan beberapa varian objek dalam bucket yang sama. Anda dapat menggunakan Penentuan Versi untuk menyimpan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan dalam bucket Anda. Dengan Penentuan Versi, Anda dapat dengan mudah memulihkan dari tindakan pengguna yang tidak diinginkan, serta kegagalan aplikasi.

Juga pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung dengan menggunakan s3-bucket-versioning-enabled AWS Config aturan yang dikelola.

Untuk informasi selengkapnya, lihat Mempertahankan beberapa versi objek dengan S3 Versioning.

Pertimbangkan untuk menggunakan Replikasi Lintas Wilayah S3

Meskipun Amazon S3 menyimpan data Anda di berbagai Zona Ketersediaan yang berbeda secara geografis secara default, persyaratan kepatuhan mungkin mengatur bahwa Anda menyimpan data dengan jarak lebih jauh. Dengan S3 Cross-Region Replication (CRR), Anda dapat mereplikasi data antara jarak jauh Wilayah AWS untuk membantu memenuhi persyaratan ini. CRRmemungkinkan penyalinan objek secara otomatis dan asinkron di ember dengan cara yang berbeda. Wilayah AWS Untuk informasi selengkapnya, lihat Mereplikasi objek di dalam dan di seluruh Wilayah.

catatan

CRRmengharuskan bucket S3 sumber dan tujuan agar versi diaktifkan.

Juga pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung dengan menggunakan s3-bucket-replication-enabled AWS Config aturan yang dikelola.

Pertimbangkan untuk menggunakan VPC titik akhir untuk akses Amazon S3

Titik akhir virtual private cloud (VPC) untuk Amazon S3 adalah entitas logis dalam VPC a yang memungkinkan konektivitas hanya ke Amazon S3. VPCendpoint dapat membantu mencegah lalu lintas melintasi internet terbuka.

VPCtitik akhir untuk Amazon S3 menyediakan beberapa cara untuk mengontrol akses ke data Amazon S3 Anda:

  • Anda dapat mengontrol permintaan, pengguna, atau grup yang diizinkan melalui VPC titik akhir tertentu menggunakan kebijakan bucket S3.

  • Anda dapat mengontrol VPC titik akhir VPCs atau titik akhir mana yang memiliki akses ke bucket S3 Anda dengan menggunakan kebijakan bucket S3.

  • Anda dapat membantu mencegah eksfiltrasi data dengan menggunakan VPC yang tidak memiliki gateway internet.

Untuk informasi selengkapnya, lihat Mengontrol akses dari VPC titik akhir dengan kebijakan bucket.

Menggunakan layanan AWS keamanan terkelola untuk memantau keamanan data

Beberapa layanan AWS keamanan terkelola dapat membantu Anda mengidentifikasi, menilai, dan memantau risiko keamanan dan kepatuhan untuk data Amazon S3 Anda. Layanan ini juga dapat membantu Anda melindungi data Anda dari risiko tersebut. Layanan ini mencakup kemampuan deteksi, pemantauan, dan perlindungan otomatis yang dirancang untuk menskalakan dari sumber daya Amazon S3 untuk sumber daya tunggal Akun AWS untuk organisasi yang mencakup ribuan akun.

Untuk informasi selengkapnya, lihat Memantau keamanan data dengan layanan AWS keamanan terkelola.

Praktik Terbaik Pemantauan dan Audit Amazon S3

Praktik terbaik berikut untuk Amazon S3 dapat membantu mendeteksi potensi kelemahan dan insiden keamanan.

Identifikasi dan audit semua bucket Amazon S3 Anda

Identifikasi aset IT Anda adalah aspek penting dari tata kelola dan keamanan. Anda perlu memiliki visibilitas semua sumber daya Amazon S3 Anda untuk menilai postur keamanan dan mengambil tindakan di area kelemahan potensial. Untuk mengaudit sumber daya Anda, kami sarankan melakukan hal berikut ini:

  • Gunakan Editor Tag untuk mengidentifikasi dan menandai sumber daya yang sensitif terhadap keamanan atau audit, kemudian gunakan tag tersebut saat Anda perlu mencari sumber daya ini. Untuk informasi selengkapnya, lihat Mencari Sumber Daya untuk Ditandai di Panduan Pengguna AWS Sumber Daya Penandaan.

  • Gunakan Inventaris S3 untuk mengaudit dan melaporkan replikasi dan status enkripsi objek Anda untuk kebutuhan bisnis, kepatuhan, dan regulasi. Untuk informasi selengkapnya, lihat Katalogisasi dan analisis data Anda dengan S3 Inventory.

  • Buat grup sumber daya untuk sumber daya Amazon S3 Anda. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan grup sumber daya? dalam AWS Resource Groups Panduan Pengguna.

Melaksanakan pemantauan dengan menggunakan alat AWS pemantauan

Pemantauan adalah bagian penting dalam menjaga keandalan, keamanan, ketersediaan, dan kinerja Amazon S3 dan solusi Anda AWS . AWS menyediakan beberapa alat dan layanan untuk membantu Anda memantau Amazon S3 dan yang lain. Layanan AWS Misalnya, Anda dapat memantau CloudWatch metrik Amazon untuk Amazon S3, khususnya metrik,, PutRequests dan GetRequests metrik. 4xxErrors DeleteRequests Untuk informasi selengkapnya, silakan lihat Memantau metrik dengan Amazon CloudWatch dan Pencatatan log dan pemantauan di Amazon S3.

Untuk contoh kedua, lihat Contoh: Aktivitas Bucket Amazon S3. Contoh ini menjelaskan cara membuat CloudWatch alarm yang dipicu saat API panggilan Amazon S3 dibuat PUT atau DELETE kebijakan bucket, siklus hidup bucket, atau konfigurasi replikasi bucket, atau ke bucket. PUT ACL

Aktifkan log akses server Amazon S3

Pencatatan akses server memberikan catatan detail permintaan yang dibuat ke bucket. Log akses server dapat membantu Anda dalam keamanan dan audit akses, membantu Anda mempelajari basis pelanggan Anda, dan memahami tagihan Amazon S3. Untuk petunjuk tentang mengaktifkan log akses server, lihat Pencatatan permintaan dengan pencatatan akses server.

Juga pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung dengan menggunakan s3-bucket-logging-enabled AWS Config aturan yang dikelola.

Gunakan AWS CloudTrail

AWS CloudTrail menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau Layanan AWS di Amazon S3. Anda dapat menggunakan informasi yang dikumpulkan oleh CloudTrail untuk menentukan hal-hal berikut:

  • Permintaan yang diajukan ke Amazon S3

  • Alamat IP dari mana permintaan itu dibuat

  • Siapa yang membuat permintaan

  • Kapan permintaan dibuat

  • Detail tambahan tentang permintaan

Misalnya, Anda dapat mengidentifikasi CloudTrail entri untuk PUT tindakan yang memengaruhi akses data, khususnyaPutBucketAcl, PutObjectAclPutBucketPolicy, danPutBucketWebsite.

Saat Anda mengatur Akun AWS, CloudTrail diaktifkan secara default. Anda dapat melihat peristiwa terbaru di CloudTrail konsol. Untuk membuat catatan aktivitas dan peristiwa yang sedang berlangsung untuk bucket Amazon S3, Anda dapat membuat jejak di konsol. CloudTrail Untuk informasi selengkapnya, lihat Mencatat peristiwa data dalam AWS CloudTrail Panduan Pengguna.

Saat membuat jejak, Anda dapat mengonfigurasi CloudTrail untuk mencatat peristiwa data. Peristiwa data adalah catatan operasi sumber daya yang dilakukan pada atau di dalam sumber daya. Di Amazon S3, peristiwa data merekam API aktivitas tingkat objek untuk masing-masing bucket. CloudTrail mendukung subset operasi API tingkat objek Amazon S3, sepertiGetObject,, dan. DeleteObject PutObject Untuk informasi selengkapnya tentang cara CloudTrail bekerja dengan Amazon S3, lihat. Pencatatan panggilan Amazon S3 menggunakan API AWS CloudTrail Di konsol Amazon S3, Anda juga dapat mengonfigurasi bucket S3 Anda ke Mengaktifkan pencatatan CloudTrail peristiwa untuk bucket dan objek S3.

AWS Config menyediakan aturan terkelola (cloudtrail-s3-dataevents-enabled) yang dapat Anda gunakan untuk mengonfirmasi bahwa setidaknya satu CloudTrail jejak mencatat peristiwa data untuk bucket S3 Anda. Untuk informasi selengkapnya, silakan lihat cloudtrail-s3-dataevents-enabled di Panduan Developer AWS Config .

Aktifkan AWS Config

Beberapa praktik terbaik yang tercantum dalam topik ini menyarankan untuk membuat AWS Config aturan. AWS Config membantu Anda menilai, mengaudit, dan mengevaluasi konfigurasi AWS sumber daya Anda. AWS Config memantau konfigurasi sumber daya sehingga Anda dapat mengevaluasi konfigurasi yang direkam terhadap konfigurasi aman yang diinginkan. Dengan AWS Config, Anda dapat melakukan hal berikut:

  • Tinjau perubahan konfigurasi dan hubungan antar sumber daya AWS

  • Selidiki riwayat konfigurasi sumber daya terperinci

  • Tentukan kepatuhan Anda secara keseluruhan terhadap konfigurasi yang ditentukan dalam pedoman internal Anda

Menggunakan AWS Config dapat membantu Anda menyederhanakan audit kepatuhan, analisis keamanan, manajemen perubahan, dan pemecahan masalah operasional. Untuk informasi selengkapnya, lihat Menyiapkan AWS Config dengan Konsol di Panduan AWS Config Pengembang. Saat menentukan jenis sumber daya yang akan dicatat, pastikan Anda menyertakan sumber daya Amazon S3.

penting

AWS Config aturan terkelola hanya mendukung bucket tujuan umum saat mengevaluasi sumber daya Amazon S3. AWS Config tidak merekam perubahan konfigurasi untuk bucket direktori. Untuk informasi selengkapnya, lihat Aturan AWS Config Terkelola dan Daftar Aturan AWS Config Terkelola di Panduan AWS Config Pengembang.

Untuk contoh cara menggunakan AWS Config, lihat Cara Menggunakan AWS Config untuk Memantau dan Menanggapi Bucket Amazon S3 yang Mengizinkan Akses Publik di Blog Keamanan.AWS

Menggunakan Lensa Penyimpanan S3

Lensa Penyimpanan S3 adalah fitur analisis penyimpanan cloud yang dapat Anda gunakan untuk mendapatkan visibilitas seluruh organisasi ke dalam penggunaan dan aktivitas penyimpanan objek. Lensa Penyimpanan S3 juga menganalisis metrik untuk memberikan rekomendasi kontekstual yang dapat Anda gunakan untuk mengoptimalkan biaya penyimpanan dan menerapkan praktik terbaik untuk melindungi data Anda.

Dengan Lensa Penyimpanan S3, Anda dapat menggunakan metrik untuk menghasilkan wawasan ringkasan, seperti mencari tahu berapa banyak penyimpanan yang Anda miliki di seluruh organisasi atau bucket dan prefiks mana yang paling cepat berkembang. Anda juga dapat menggunakan metrik Lensa Penyimpanan S3 untuk mengidentifikasi peluang optimasi biaya, menerapkan praktik terbaik untuk perlindungan data dan keamanan, serta meningkatkan kinerja beban kerja aplikasi.

Misalnya, Anda dapat mengidentifikasi bucket yang tidak memiliki aturan Siklus Hidup S3 untuk membatalkan unggahan multibagian yang tidak lengkap yang berusia lebih dari 7 hari. Anda juga dapat mengidentifikasi bucket yang tidak mengikuti praktik terbaik perlindungan data, seperti menggunakan Replikasi S3 atau Penentuan Versi S3. Untuk informasi selengkapnya, lihat Memahami Lensa Penyimpanan Amazon S3.

Memantau laporan keamanan AWS

Kami menyarankan Anda secara teratur memeriksa nasihat keamanan yang diposting dalam Trusted Advisor untuk Akun AWS Anda. Secara khusus, cari peringatan tentang bucket Amazon S3 dengan “buka izin akses.” Anda dapat melakukan ini secara terprogram dengan menggunakan describe-trusted-advisor-checks.

Selanjutnya, secara aktif memantau alamat email utama yang terdaftar untuk masing-masing Anda Akun AWS. AWS menggunakan alamat email ini untuk menghubungi Anda tentang masalah keamanan yang muncul yang mungkin memengaruhi Anda.

AWS masalah operasional dengan dampak luas diposting di AWS Health Dashboard - Layanan kesehatan. Masalah operasional juga diposting ke akun individu melalui AWS Health Dashboard. Untuk informasi lebih lanjut, lihat dokumentasi AWS Health.

Memantau keamanan data dengan layanan AWS keamanan terkelola

Beberapa layanan AWS keamanan terkelola dapat membantu Anda mengidentifikasi, menilai, dan memantau risiko keamanan dan kepatuhan untuk data Amazon S3 Anda. Mereka juga dapat membantu Anda melindungi data Anda dari risiko tersebut. Layanan ini mencakup kemampuan deteksi, pemantauan, dan perlindungan otomatis yang dirancang untuk menskalakan dari sumber daya Amazon S3 untuk sumber daya tunggal Akun AWS hingga sumber daya untuk organisasi yang mencakup ribuan. Akun AWS

AWS Layanan deteksi dan respons dapat membantu Anda mengidentifikasi potensi kesalahan konfigurasi keamanan, ancaman, atau perilaku tak terduga, sehingga Anda dapat dengan cepat merespons aktivitas yang berpotensi tidak sah atau berbahaya di lingkungan Anda. AWS Layanan perlindungan data dapat membantu Anda memantau dan melindungi data, akun, dan beban kerja Anda dari akses yang tidak sah. Mereka juga dapat membantu Anda menemukan data sensitif, seperti informasi yang dapat diidentifikasi secara pribadi (PII), di kawasan data Amazon S3 Anda.

Untuk membantu Anda mengidentifikasi dan mengevaluasi risiko keamanan dan kepatuhan data, layanan keamanan terkelola AWS menghasilkan temuan untuk memberi tahu Anda tentang potensi peristiwa keamanan atau masalah dengan data Amazon S3 Anda. Temuan ini memberikan rincian relevan yang dapat Anda gunakan untuk menyelidiki, menilai, dan menindaklanjuti risiko ini sesuai dengan alur kerja dan kebijakan respons insiden Anda. Anda dapat mengakses data temuan secara langsung dengan menggunakan setiap layanan. Anda juga dapat mengirim data ke aplikasi, layanan, dan sistem lain, seperti insiden keamanan dan sistem manajemen peristiwa (SIEM).

Untuk memantau keamanan data Amazon S3 Anda, pertimbangkan untuk menggunakan layanan AWS keamanan terkelola ini.

Amazon GuardDuty

Amazon GuardDuty adalah layanan pendeteksi ancaman yang terus memantau beban kerja Anda Akun AWS dan beban kerja untuk aktivitas berbahaya dan memberikan temuan keamanan terperinci untuk visibilitas dan remediasi.

Dengan fitur perlindungan S3 di GuardDuty, Anda dapat mengonfigurasi GuardDuty untuk menganalisis AWS CloudTrail manajemen dan peristiwa data untuk sumber daya Amazon S3 Anda. GuardDuty kemudian memantau peristiwa tersebut untuk aktivitas berbahaya dan mencurigakan. Untuk menginformasikan analisis dan mengidentifikasi potensi risiko keamanan, GuardDuty gunakan umpan intelijen ancaman dan pembelajaran mesin.

GuardDuty dapat memantau berbagai jenis aktivitas untuk sumber daya Amazon S3 Anda. Misalnya, peristiwa CloudTrail manajemen untuk Amazon S3 mencakup operasi tingkat ember, seperti,, dan. ListBuckets DeleteBucket PutBucketReplication CloudTrail peristiwa data untuk Amazon S3 mencakup operasi tingkat objek, sepertiGetObject,, dan. ListObjects PutObject Jika GuardDuty mendeteksi aktivitas anomali atau berpotensi berbahaya, itu menghasilkan temuan untuk memberi tahu Anda.

Untuk informasi selengkapnya, lihat Perlindungan Amazon S3 GuardDuty di Amazon di GuardDuty Panduan Pengguna Amazon.

Amazon Detective

Amazon Detective menyederhanakan proses investigasi dan membantu Anda melakukan investigasi keamanan yang lebih cepat dan efektif. Detective menyediakan agregasi data, ringkasan, dan konteks yang dapat membantu Anda menganalisis dan menilai sifat dan tingkat kemungkinan masalah keamanan.

Detective secara otomatis mengekstrak peristiwa berbasis waktu, seperti API panggilan dari dan AWS CloudTrail Amazon VPC Flow Logs untuk sumber daya Anda. AWS Ini juga menelan temuan yang dihasilkan oleh Amazon GuardDuty. Detective kemudian menggunakan machine learning, analisis statistik, dan teori grafik untuk menghasilkan visualisasi yang membantu Anda melakukan investigasi keamanan yang efektif dengan lebih cepat.

Visualisasi ini memberikan pandangan interaktif yang terpadu tentang perilaku sumber daya dan interaksi di antara mereka dari waktu ke waktu. Anda dapat menjelajahi grafik perilaku ini untuk memeriksa tindakan yang berpotensi berbahaya, seperti upaya login yang gagal atau API panggilan yang mencurigakan. Anda juga dapat melihat bagaimana tindakan ini memengaruhi sumber daya, seperti bucket dan S3 Object.

Untuk informasi selengkapnya, lihat Panduan Administrasi Amazon Detective.

IAMPenganalisis Akses

AWS Identity and Access Management Access Analyzer (IAMAccess Analyzer) dapat membantu Anda mengidentifikasi sumber daya yang dibagikan dengan entitas eksternal. Anda juga dapat menggunakan IAM Access Analyzer untuk memvalidasi IAM kebijakan terhadap tata bahasa kebijakan dan praktik terbaik, serta menghasilkan IAM kebijakan berdasarkan aktivitas akses di log Anda. AWS CloudTrail

IAMAccess Analyzer menggunakan penalaran berbasis logika untuk menganalisis kebijakan sumber daya di AWS lingkungan Anda, seperti kebijakan bucket. Dengan IAM Access Analyzer for S3, Anda akan diberi tahu saat bucket S3 dikonfigurasi untuk mengizinkan akses ke siapa pun di internet atau lainnya Akun AWS, termasuk akun di luar organisasi Anda. Misalnya, IAM Access Analyzer untuk S3 dapat melaporkan bahwa bucket memiliki akses baca atau tulis yang disediakan melalui bucket access control list (ACL), kebijakan bucket, kebijakan Titik Akses Multi-Wilayah, atau kebijakan titik akses. Untuk setiap bucket publik atau bucket bersama, Anda akan menerima temuan yang menunjukkan sumber dan tingkat akses publik atau bersama. Dengan temuan ini, Anda dapat segera mengambil tindakan korektif yang tepat untuk memulihkan akses bucket ke apa yang Anda inginkan.

Untuk informasi selengkapnya, lihat Meninjau akses bucket menggunakan IAM Access Analyzer untuk S3.

Amazon Macie

Amazon Macie adalah layanan keamanan yang menemukan data sensitif dengan menggunakan machine learning dan pencocokan pola. Macie memberikan visibilitas ke dalam risiko keamanan data, dan memungkinkan perlindungan otomatis terhadap risiko tersebut. Dengan Macie, Anda dapat mengotomatisasi penemuan dan pelaporan data sensitif di properti data Amazon S3 untuk mendapatkan pemahaman yang lebih baik tentang data yang disimpan organisasi Anda di S3.

Untuk mendeteksi data sensitif dengan Macie, Anda dapat menggunakan kriteria dan teknik bawaan yang dirancang untuk mendeteksi daftar jenis data sensitif yang besar dan berkembang untuk banyak negara dan wilayah. Tipe data sensitif ini mencakup beberapa jenis informasi yang dapat diidentifikasi secara pribadi (PII), data keuangan, dan data kredensil. Anda juga dapat menggunakan kriteria kustom yang Anda tetapkan, ekspresi reguler yang menentukan pola teks yang cocok dan, opsional, urutan karakter dan aturan kedekatan yang menyempurnakan hasil.

Jika Macie mendeteksi data sensitif dalam S3 Object, Macie akan membuat temuan keamanan untuk memberi tahu Anda. Temuan ini memberikan informasi tentang objek yang terpengaruh, jenis dan jumlah kemunculan data sensitif yang ditemukan Macie, dan detail tambahan untuk membantu Anda menyelidiki bucket dan S3 Object yang terpengaruh. Untuk informasi selengkapnya, lihat Panduan Pengguna Amazon Macie.

AWS Security Hub

AWS Security Hub adalah layanan manajemen postur keamanan yang melakukan pemeriksaan praktik terbaik keamanan, mengumpulkan peringatan dan temuan dari berbagai sumber ke dalam satu format, dan memungkinkan remediasi otomatis.

Security Hub mengumpulkan dan menyediakan data temuan keamanan dari solusi AWS Partner Network keamanan terintegrasi Layanan AWS, termasuk Amazon Detective, Amazon, Access AnalyzerIAM, dan GuardDuty Amazon Macie. Ini juga menghasilkan temuannya sendiri dengan menjalankan pemeriksaan keamanan otomatis yang berkelanjutan berdasarkan praktik AWS terbaik dan standar industri yang didukung.

Security Hub kemudian mengkorelasikan dan mengkonsolidasikan temuan di seluruh penyedia untuk membantu Anda memprioritaskan dan memproses temuan yang paling signifikan. Ini juga menyediakan dukungan untuk tindakan kustom, yang dapat Anda gunakan untuk menginvokasi respons atau tindakan remediasi untuk kelas temuan tertentu.

Dengan Security Hub, Anda dapat menilai status keamanan dan kepatuhan sumber daya Amazon S3, dan Anda dapat melakukannya sebagai bagian dari analisis yang lebih luas tentang postur keamanan organisasi Anda di masing-masing Wilayah AWS dan di beberapa Wilayah. Ini termasuk menganalisis tren keamanan dan mengidentifikasi masalah keamanan prioritas tertinggi. Anda juga dapat mengumpulkan temuan dari beberapa Wilayah AWS, dan memantau serta memproses data temuan agregat dari satu Wilayah.

Untuk informasi selengkapnya, lihat Kontrol Amazon Simple Storage Service di dalam Panduan Pengguna AWS Security Hub .