Memulihkan bucket S3 yang berpotensi dikompromikan - Amazon GuardDuty
Rekomendasi berdasarkan kebutuhan akses bucket S3 tertentu

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulihkan bucket S3 yang berpotensi dikompromikan

Ikuti langkah-langkah yang disarankan ini untuk memulihkan bucket Amazon S3 yang berpotensi dikompromikan di lingkungan Anda: AWS

  1. Identifikasi sumber daya S3 yang berpotensi dikompromikan.

    GuardDuty Temuan untuk S3 akan mencantumkan bucket S3 terkait, Amazon Resource Name (ARN), dan pemiliknya dalam detail temuan.

  2. Identifikasi sumber aktivitas mencurigakan dan API panggilan yang digunakan.

    APIPanggilan yang digunakan akan dicantumkan seperti API pada detail temuan. Sumber akan menjadi IAM prinsipal (baik IAM peran, pengguna, atau akun) dan rincian identifikasi akan tercantum dalam temuan. Bergantung pada jenis sumbernya, alamat IP jarak jauh atau info domain sumber akan tersedia dan dapat membantu Anda mengevaluasi apakah sumber tersebut diotorisasi. Jika temuan melibatkan kredensil dari EC2 instance Amazon, detail untuk sumber daya itu juga akan disertakan.

  3. Tentukan apakah sumber panggilan diberi wewenang untuk mengakses sumber daya yang diidentifikasi.

    Misalnya, pertimbangkan hal berikut:

    • Jika IAM pengguna terlibat, mungkinkah kredensialnya berpotensi dikompromikan? Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

    • Jika sebuah API dipanggil dari prinsipal yang tidak memiliki riwayat sebelumnya untuk memanggil jenis iniAPI, apakah sumber ini memerlukan izin akses untuk operasi ini? Dapatkah izin bucket dibatasi secara lebih lanjut?

    • Jika akses terlihat dari nama pengguna ANONYMOUS_PRINCIPAL dengan tipe pengguna dari AWSAccount, ini menunjukkan bahwa bucket bersifat publik dan telah diakses. Haruskah bucket ini dibuat publik? Jika tidak, tinjau rekomendasi keamanan di bawah ini untuk solusi alternatif untuk berbagi sumber daya S3.

    • Jika akses adalah PreflightRequest panggilan yang berhasil dilihat dari nama pengguna ANONYMOUS_PRINCIPAL dengan tipe pengguna, AWSAccount ini menunjukkan bucket memiliki kumpulan kebijakan berbagi sumber daya lintas asal (CORS). Haruskah ember ini memiliki CORS kebijakan? Jika tidak, pastikan bucket tidak secara tidak sengaja dipublikasikan dan tinjau rekomendasi keamanan di bawah ini untuk solusi alternatif untuk berbagi sumber daya S3. Untuk informasi selengkapnya, CORS lihat Menggunakan berbagi sumber daya lintas asal (CORS) di panduan pengguna S3.

  4. Tentukan apakah bucket S3 berisi data sensitif.

    Gunakan Amazon Macie untuk menentukan apakah bucket S3 berisi data sensitif, seperti informasi identitas pribadi (PII), data keuangan, atau kredensional. Jika penemuan data sensitif otomatis diaktifkan untuk akun Macie Anda, tinjau detail bucket S3 untuk mendapatkan pemahaman yang lebih baik tentang konten bucket S3 Anda. Jika fitur ini dinonaktifkan untuk akun Macie Anda, kami sarankan untuk menyalakannya untuk mempercepat penilaian Anda. Atau, Anda dapat membuat dan menjalankan tugas penemuan data sensitif untuk memeriksa objek bucket S3 untuk data sensitif. Untuk informasi selengkapnya, lihat Menemukan data sensitif dengan Macie.

Jika akses diotorisasi, Anda dapat mengabaikan temuan tersebut. https://console.aws.amazon.com/guardduty/Konsol memungkinkan Anda untuk mengatur aturan untuk sepenuhnya menekan temuan individu sehingga tidak lagi muncul. Untuk informasi selengkapnya, lihat Aturan penekanan.

Jika Anda menentukan bahwa data S3 Anda telah diekspos atau diakses oleh pihak yang tidak berwenang, tinjau rekomendasi keamanan S3 berikut untuk memperketat izin dan membatasi akses. Solusi perbaikan yang tepat akan bergantung pada kebutuhan lingkungan spesifik Anda.

Rekomendasi berdasarkan kebutuhan akses bucket S3 tertentu

Daftar berikut memberikan rekomendasi berdasarkan kebutuhan akses bucket Amazon S3 tertentu:

  • Untuk cara terpusat untuk membatasi akses publik ke penggunaan data S3 Anda, S3 memblokir akses publik. Blokir pengaturan akses publik dapat diaktifkan untuk titik akses, bucket, dan AWS Akun melalui empat pengaturan berbeda untuk mengontrol perincian akses. Untuk informasi selengkapnya, lihat Pengaturan Blokir Akses Publik S3.

  • AWS Kebijakan akses dapat digunakan untuk mengontrol bagaimana IAM pengguna dapat mengakses sumber daya Anda atau bagaimana bucket Anda dapat diakses. Untuk informasi selengkapnya, lihat Menggunakan Kebijakan Bucket dan Kebijakan Pengguna.

    Selain itu, Anda dapat menggunakan titik akhir Virtual Private Cloud (VPC) dengan kebijakan bucket S3 untuk membatasi akses ke titik akhir tertentu. VPC Untuk informasi selengkapnya, lihat Contoh Kebijakan Bucket untuk VPC Titik Akhir untuk Amazon S3

  • Untuk mengizinkan akses sementara ke objek S3 Anda ke entitas tepercaya di luar akun Anda, Anda dapat membuat Presigned URL melalui S3. Akses ini dibuat menggunakan kredensial akun Anda dan bergantung pada kredensial yang digunakan dapat bertahan 6 jam hingga 7 hari. Untuk informasi selengkapnya, lihat Menghasilkan presigned URLs dengan S3.

  • Untuk kasus penggunaan yang mengharuskan berbagi objek S3 antara sumber yang berbeda, Anda dapat menggunakan S3 Access Points untuk membuat set izin yang membatasi akses hanya untuk mereka yang berada dalam jaringan pribadi Anda. Untuk informasi selengkapnya, lihat Mengelola akses data dengan Amazon S3 access points.

  • Untuk memberikan akses ke sumber daya S3 ke AWS Akun lain dengan aman, Anda dapat menggunakan daftar kontrol akses (ACL), untuk informasi selengkapnya lihat Mengelola Akses S3 dengan. ACLs

Untuk informasi selengkapnya tentang opsi keamanan S3, lihat praktik terbaik Keamanan S3.