Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Kontrol Security Hub untuk Amazon S3

PDF
RSS
Mode fokus
Kontrol Security Hub untuk Amazon S3 - AWS Security Hub
[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok[S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik[S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah[S3.8] Bucket tujuan umum S3 harus memblokir akses publik[S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup[S3.14] Bucket tujuan umum S3 harus mengaktifkan versi[S3.15] Bucket tujuan umum S3 harus mengaktifkan Object Lock[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat dengan AWS KMS keys[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Security Hub Kontrol ini mengevaluasi layanan dan sumber daya Amazon Simple Storage Service (Amazon S3).

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/2.1.4, Tolok Ukur AWS Yayasan CIS v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16) NIST.800-53.r5 AC-3, (20), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7, PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Kategori: Lindungi > Konfigurasi jaringan aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::::Account

AWS Config aturan: s3-account-level-public-access-blocks-periodic

Jenis jadwal: Periodik

Parameter:

  • ignorePublicAcls: true (tidak dapat disesuaikan)

  • blockPublicPolicy: true (tidak dapat disesuaikan)

  • blockPublicAcls: true (tidak dapat disesuaikan)

  • restrictPublicBuckets: true (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah setelan akses publik blok Amazon S3 sebelumnya dikonfigurasi pada tingkat akun untuk bucket tujuan umum S3. Kontrol gagal jika satu atau lebih pengaturan akses publik blok diatur kefalse.

Kontrol gagal jika salah satu pengaturan diatur kefalse, atau jika salah satu pengaturan tidak dikonfigurasi.

Blok akses publik Amazon S3 dirancang untuk menyediakan kontrol di seluruh Akun AWS atau pada tingkat bucket S3 individual untuk memastikan bahwa objek tidak pernah memiliki akses publik. Akses publik diberikan ke bucket dan objek melalui daftar kontrol akses (ACLs), kebijakan bucket, atau keduanya.

Kecuali jika Anda bermaksud agar bucket S3 Anda dapat diakses publik, Anda harus mengonfigurasi fitur Amazon S3 Block Public Access level akun.

Untuk mempelajari selengkapnya, lihat Menggunakan Amazon S3 Blokir Akses Publik di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Remediasi

Untuk mengaktifkan Amazon S3 Blokir Akses Publik untuk Anda Akun AWS, lihat Mengonfigurasi setelan blokir akses publik untuk akun Anda di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

[S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik

Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20), (21), (3), 4) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Kategori: Lindungi > Konfigurasi jaringan aman

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::S3::Bucket

AWS Config aturan: s3-bucket-public-read-prohibited

Jenis jadwal: Berkala dan perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 mengizinkan akses baca publik. Ini mengevaluasi pengaturan blokir akses publik, kebijakan bucket, dan daftar kontrol akses bucket (ACL). Kontrol gagal jika bucket mengizinkan akses baca publik.

Beberapa kasus penggunaan mungkin mengharuskan semua orang di internet dapat membaca dari bucket S3 Anda. Namun, situasi itu jarang terjadi. Untuk memastikan integritas dan keamanan data Anda, bucket S3 Anda tidak boleh dibaca publik.

Remediasi

Untuk memblokir akses baca publik di bucket Amazon S3, lihat Mengonfigurasi blokir setelan akses publik untuk bucket S3 Anda di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

[S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik

Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, 1,, (7),, (21),,, (11), (16), (16), 20), (21), (3), (4), (9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Kategori: Lindungi > Konfigurasi jaringan aman

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::S3::Bucket

AWS Config aturan: s3-bucket-public-write-prohibited

Jenis jadwal: Berkala dan perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 mengizinkan akses tulis publik. Ini mengevaluasi pengaturan blokir akses publik, kebijakan bucket, dan daftar kontrol akses bucket (ACL). Kontrol gagal jika bucket mengizinkan akses tulis publik.

Beberapa kasus penggunaan mengharuskan semua orang di internet dapat menulis ke bucket S3 Anda. Namun, situasi itu jarang terjadi. Untuk memastikan integritas dan keamanan data Anda, bucket S3 Anda tidak boleh ditulis secara publik.

Remediasi

Untuk memblokir akses tulis publik di bucket Amazon S3, lihat Mengonfigurasi setelan blokir akses publik untuk bucket S3 Anda di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/2.1.1, Tolok Ukur AWS Yayasan CIS v1.4.0/2.1.2, NIST.800-53.r5 AC-1 7 (2),, (1), 2 (3), 3, 3, 3 (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (4),, (1), ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-1 NIST.800-53.R5 SI-7 (6), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/4.1 NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v4.4.1 0.1/4.2.1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::S3::Bucket

AWS Config aturan: s3-bucket-ssl-requests-only

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 memiliki kebijakan yang mengharuskan permintaan untuk menggunakan SSL. Kontrol gagal jika kebijakan bucket tidak memerlukan permintaan untuk menggunakan SSL.

Bucket S3 harus memiliki kebijakan yang mengharuskan semua permintaan (Action: S3:*) hanya menerima transmisi data melalui HTTPS dalam kebijakan sumber daya S3, yang ditunjukkan oleh kunci kondisi. aws:SecureTransport

Remediasi

Untuk memperbarui kebijakan bucket Amazon S3 untuk menolak transportasi yang tidak aman, lihat Menambahkan kebijakan bucket menggunakan konsol Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Tambahkan pernyataan kebijakan yang mirip dengan yang ada di kebijakan berikut. Ganti amzn-s3-demo-bucket dengan nama bucket yang Anda modifikasi.

{
    "Id": "ExamplePolicy",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}

Untuk informasi selengkapnya, lihat Kebijakan bucket S3 apa yang harus saya gunakan untuk mematuhi AWS Config aturan s3-? bucket-ssl-requests-only di Pusat Pengetahuan AWS Resmi.

[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS

Persyaratan terkait: NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

Kategori: Lindungi > Manajemen akses aman > Tindakan operasi API sensitif dibatasi

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::S3::Bucket

AWS Configaturan: s3-bucket-blacklisted-actions-prohibited

Jenis jadwal: Perubahan dipicu

Parameter:

  • blacklistedactionpatterns: s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah kebijakan bucket tujuan umum Amazon S3 mencegah prinsipal dari pihak lain Akun AWS melakukan tindakan yang ditolak pada sumber daya di bucket S3. Kontrol gagal jika kebijakan bucket mengizinkan satu atau beberapa tindakan sebelumnya untuk prinsipal di tempat lain. Akun AWS

Menerapkan akses hak istimewa paling sedikit sangat penting untuk mengurangi risiko keamanan dan dampak kesalahan atau niat jahat. Jika kebijakan bucket S3 mengizinkan akses dari akun eksternal, hal itu dapat mengakibatkan eksfiltrasi data oleh ancaman orang dalam atau penyerang.

blacklistedactionpatternsParameter ini memungkinkan evaluasi aturan yang berhasil untuk ember S3. Parameter memberikan akses ke akun eksternal untuk pola tindakan yang tidak termasuk dalam blacklistedactionpatterns daftar.

Remediasi

Untuk memperbarui kebijakan bucket Amazon S3 guna menghapus izin, lihat. Menambahkan kebijakan bucket dengan menggunakan konsol Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Pada halaman Edit kebijakan bucket, di kotak teks pengeditan kebijakan, lakukan salah satu tindakan berikut:

  • Hapus pernyataan yang memberikan Akun AWS akses lain ke tindakan yang ditolak.

  • Hapus tindakan yang ditolak yang diizinkan dari pernyataan.

[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah

Persyaratan terkait: PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2), (2), NIST.800-53.R5 NIST.800-53.r5 SC-5 SI-13 (5)

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::S3::Bucket

AWS Config aturan: s3-bucket-cross-region-replication-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 mengaktifkan replikasi lintas wilayah. Kontrol gagal jika bucket tidak mengaktifkan replikasi lintas wilayah.

Replikasi adalah penyalinan objek secara otomatis dan asinkron di seluruh ember dalam hal yang sama atau berbeda. Wilayah AWS Replikasi menyalin objek dan pembaruan objek yang baru dibuat dari bucket sumber ke bucket atau bucket tujuan. AWS praktik terbaik merekomendasikan replikasi untuk ember sumber dan tujuan yang dimiliki oleh yang sama. Akun AWS Selain ketersediaan, Anda harus mempertimbangkan pengaturan pengerasan sistem lainnya.

Kontrol ini menghasilkan FAILED temuan untuk bucket tujuan replikasi jika replikasi lintas wilayah tidak diaktifkan. Jika ada alasan sah bahwa bucket tujuan tidak memerlukan replikasi lintas wilayah untuk diaktifkan, Anda dapat menekan temuan untuk bucket ini.

Remediasi

Untuk mengaktifkan Replikasi Lintas Wilayah pada bucket S3, lihat Mengonfigurasi replikasi untuk bucket sumber dan tujuan yang dimiliki oleh akun yang sama di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Untuk bucket Source, pilih Apply to all objects in the bucket.

[S3.8] Bucket tujuan umum S3 harus memblokir akses publik

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/2.1.4, Tolok Ukur AWS Yayasan CIS v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21) NIST.800-53.r5 AC-3,,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::S3::Bucket

AWS Config aturan: s3-bucket-level-public-access-prohibited

Jenis jadwal: Perubahan dipicu

Parameter:

  • excludedPublicBuckets(tidak dapat disesuaikan) - Daftar terpisah koma dari nama bucket S3 publik yang diizinkan yang diketahui

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 memblokir akses publik di tingkat bucket. Kontrol gagal jika salah satu pengaturan berikut diatur kefalse:

  • ignorePublicAcls

  • blockPublicPolicy

  • blockPublicAcls

  • restrictPublicBuckets

Blokir Akses Publik pada tingkat bucket S3 menyediakan kontrol untuk memastikan bahwa objek tidak pernah memiliki akses publik. Akses publik diberikan ke bucket dan objek melalui daftar kontrol akses (ACLs), kebijakan bucket, atau keduanya.

Kecuali jika Anda bermaksud agar bucket S3 dapat diakses publik, Anda harus mengonfigurasi fitur Amazon S3 Block Public Access level bucket.

Remediasi

Untuk informasi tentang cara menghapus akses publik pada tingkat bucket, lihat Memblokir akses publik ke penyimpanan Amazon S3 Anda di Panduan Pengguna Amazon S3.

[S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server

Persyaratan terkait: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::S3::Bucket

AWS Config aturan: s3-bucket-logging-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah pencatatan akses server diaktifkan untuk bucket tujuan umum Amazon S3. Kontrol gagal jika pencatatan akses server tidak diaktifkan. Saat logging diaktifkan, Amazon S3 mengirimkan log akses untuk bucket sumber ke bucket target yang dipilih. Bucket target harus Wilayah AWS sama dengan bucket sumber dan tidak boleh memiliki periode retensi default yang dikonfigurasi. Bucket logging target tidak perlu mengaktifkan logging akses server, dan Anda harus menekan temuan untuk bucket ini.

Pencatatan akses server menyediakan catatan terperinci tentang permintaan yang dibuat ke ember. Log akses server dapat membantu dalam audit keamanan dan akses. Untuk informasi selengkapnya, lihat Praktik Terbaik Keamanan untuk Amazon S3: Aktifkan pencatatan akses server Amazon S3.

Remediasi

Untuk mengaktifkan pencatatan akses server Amazon S3, lihat Mengaktifkan pencatatan akses server Amazon S3 di Panduan Pengguna Amazon S3.

[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup

Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::S3::Bucket

AWS Config aturan: s3-version-lifecycle-policy-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah bucket berversi tujuan umum Amazon S3 memiliki konfigurasi Siklus Hidup. Kontrol gagal jika bucket tidak memiliki konfigurasi Siklus Hidup.

Sebaiknya buat konfigurasi Siklus Hidup untuk bucket S3 untuk membantu menentukan tindakan yang ingin dilakukan Amazon S3 selama masa pakai objek.

Remediasi

Untuk informasi selengkapnya tentang mengonfigurasi siklus hidup di bucket Amazon S3, lihat Menyetel konfigurasi siklus hidup pada bucket dan Mengelola siklus hidup penyimpanan Anda.

[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara

Persyaratan terkait: NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (4)

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::S3::Bucket

AWS Config aturan: s3-event-notifications-enabled

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub

eventTypes

Daftar jenis acara S3 pilihan

EnumList (maksimal 28 item)

s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent

Tidak ada nilai default

Kontrol ini memeriksa apakah Pemberitahuan Peristiwa S3 diaktifkan pada bucket tujuan umum Amazon S3. Kontrol gagal jika Pemberitahuan Acara S3 tidak diaktifkan di bucket. Jika Anda memberikan nilai kustom untuk eventTypes parameter, kontrol hanya akan diteruskan jika pemberitahuan peristiwa diaktifkan untuk jenis peristiwa yang ditentukan.

Saat mengaktifkan Pemberitahuan Acara S3, Anda menerima peringatan saat peristiwa tertentu terjadi yang memengaruhi bucket S3 Anda. Misalnya, Anda dapat diberi tahu tentang pembuatan objek, penghapusan objek, dan restorasi objek. Pemberitahuan ini dapat mengingatkan tim terkait untuk modifikasi yang tidak disengaja atau disengaja yang dapat menyebabkan akses data yang tidak sah.

Remediasi

Untuk informasi tentang mendeteksi perubahan pada bucket dan objek S3, lihat Pemberitahuan Acara Amazon S3 di Panduan Pengguna Amazon S3.

[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3

Persyaratan terkait: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::S3::Bucket

AWS Config aturan: s3-bucket-acl-prohibited

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 menyediakan izin pengguna dengan daftar kontrol akses (ACL). Kontrol gagal jika ACL dikonfigurasi untuk mengelola akses pengguna di bucket.

ACLs adalah mekanisme kontrol akses lama yang mendahului IAM. Sebagai gantinya ACLs, sebaiknya gunakan kebijakan bucket S3 atau kebijakan AWS Identity and Access Management (IAM) untuk mengelola akses ke bucket S3 Anda.

Remediasi

Untuk melewati kontrol ini, Anda harus menonaktifkan ACLs bucket S3 Anda. Untuk petunjuknya, lihat Mengontrol kepemilikan objek dan menonaktifkan ACLs bucket Anda di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Untuk membuat kebijakan bucket S3, lihat Menambahkan kebijakan bucket menggunakan konsol Amazon S3. Untuk membuat kebijakan pengguna IAM di bucket S3, lihat Mengontrol akses ke bucket dengan kebijakan pengguna.

[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup

Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Kategori: Lindungi > Perlindungan data

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::S3::Bucket

AWS Config aturan: s3-lifecycle-policy-check

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub

targetTransitionDays

Jumlah hari setelah pembuatan objek ketika objek dialihkan ke kelas penyimpanan tertentu

Bilangan Bulat

1 untuk 36500

Tidak ada nilai default

targetExpirationDays

Jumlah hari setelah pembuatan objek saat objek dihapus

Bilangan Bulat

1 untuk 36500

Tidak ada nilai default

targetTransitionStorageClass

Jenis kelas penyimpanan S3 tujuan

Enum

STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE

Tidak ada nilai default

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 memiliki konfigurasi Siklus Hidup. Kontrol gagal jika bucket tidak memiliki konfigurasi Siklus Hidup. Jika Anda memberikan nilai kustom untuk satu atau beberapa parameter sebelumnya, kontrol hanya akan diteruskan jika kebijakan menyertakan kelas penyimpanan, waktu penghapusan, atau waktu transisi yang ditentukan.

Membuat konfigurasi Siklus Hidup untuk bucket S3 menentukan tindakan yang ingin dilakukan Amazon S3 selama masa pakai objek. Misalnya, Anda dapat mentransisikan objek ke kelas penyimpanan lain, mengarsipkannya, atau menghapusnya setelah jangka waktu tertentu.

Remediasi

Untuk informasi tentang mengonfigurasi kebijakan siklus hidup di bucket Amazon S3, lihat Menyetel konfigurasi siklus hidup di bucket dan lihat Mengelola siklus hidup penyimpanan di Panduan Pengguna Amazon S3.

[S3.14] Bucket tujuan umum S3 harus mengaktifkan versi

Kategori: Lindungi > Perlindungan data > Perlindungan penghapusan data

Persyaratan terkait: NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::S3::Bucket

AWS Config aturan: s3-bucket-versioning-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 mengaktifkan versi. Kontrol gagal jika pembuatan versi ditangguhkan untuk bucket.

Pembuatan versi menyimpan beberapa varian objek dalam bucket S3 yang sama. Anda dapat menggunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan versi sebelumnya dari objek yang disimpan di bucket S3 Anda. Pembuatan versi membantu Anda pulih dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi.

Tip

Karena jumlah objek bertambah dalam bucket karena pembuatan versi, Anda dapat mengatur konfigurasi Siklus Hidup untuk mengarsipkan atau menghapus objek berversi secara otomatis berdasarkan aturan. Untuk informasi selengkapnya, lihat Manajemen Siklus Hidup Amazon S3 untuk Objek Berversi.

Remediasi

Untuk menggunakan pembuatan versi pada bucket S3, lihat Mengaktifkan pembuatan versi pada bucket di Panduan Pengguna Amazon S3.

[S3.15] Bucket tujuan umum S3 harus mengaktifkan Object Lock

Kategori: Lindungi > Perlindungan data > Perlindungan penghapusan data

Persyaratan terkait: Nist.800-53.r5 CP-6 (2), PCI DSS v4.0.1/10.5.1

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::S3::Bucket

AWS Config aturan: s3-bucket-default-lock-enabled

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub

mode

Mode retensi Kunci Objek S3

Enum

GOVERNANCE, COMPLIANCE

Tidak ada nilai default

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 mengaktifkan Object Lock. Kontrol gagal jika Object Lock tidak diaktifkan untuk bucket. Jika Anda memberikan nilai kustom untuk mode parameter, kontrol hanya akan diteruskan jika S3 Object Lock menggunakan mode retensi yang ditentukan.

Anda dapat menggunakan S3 Object Lock untuk menyimpan objek menggunakan model write-once-read-many (WORM). Object Lock dapat membantu mencegah objek di bucket S3 dihapus atau ditimpa untuk jangka waktu tertentu atau tanpa batas waktu. Anda dapat menggunakan S3 Object Lock untuk memenuhi persyaratan peraturan yang memerlukan penyimpanan WORM, atau menambahkan lapisan perlindungan tambahan terhadap perubahan dan penghapusan objek.

Remediasi

Untuk mengonfigurasi Object Lock untuk bucket S3 baru dan yang sudah ada, lihat Mengonfigurasi Kunci Objek S3 di Panduan Pengguna Amazon S3.

[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat dengan AWS KMS keys

Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest

Persyaratan terkait: NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 Nist.800-53.R5 SI-7 NIST.800-53.r5 CA-9 (6), Nist.800-53.R5 AU-9, PCI DSS v4.0.1/3.5.1

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::S3::Bucket

AWS Config aturan: s3-default-encryption-kms

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 dienkripsi dengan (SSE-KMS atau AWS KMS key DSSE-KMS). Kontrol gagal jika bucket dienkripsi dengan enkripsi default (SSE-S3).

Server-side encryption (SSE) adalah enkripsi data di tujuannya oleh aplikasi atau layanan yang menerimanya. Kecuali Anda menentukan sebaliknya, bucket S3 menggunakan kunci terkelola Amazon S3 (SSE-S3) secara default untuk enkripsi sisi server. Namun, untuk kontrol tambahan, Anda dapat memilih untuk mengonfigurasi bucket untuk menggunakan enkripsi sisi server dengan AWS KMS keys (SSE-KMS atau DSSE-KMS) sebagai gantinya. Amazon S3 mengenkripsi data Anda pada tingkat objek saat menulisnya ke disk di pusat AWS data dan mendekripsi untuk Anda saat Anda mengaksesnya.

Remediasi

Untuk mengenkripsi bucket S3 menggunakan SSE-KMS, lihat Menentukan enkripsi sisi server dengan (SSE-KMS) di Panduan Pengguna Amazon AWS KMS S3. Untuk mengenkripsi bucket S3 menggunakan DSSE-KMS, lihat Menentukan enkripsi sisi server dua lapis dengan ( AWS KMS keys DSSE-KMS) di Panduan Pengguna Amazon S3.

[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok

Persyaratan terkait: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

Kategori: Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::S3::AccessPoint

AWS Config aturan: s3-access-point-public-access-blocks

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah jalur akses Amazon S3 telah mengaktifkan pengaturan akses publik blok. Kontrol gagal jika blokir pengaturan akses publik tidak diaktifkan untuk titik akses.

Fitur Akses Publik Blok Amazon S3 membantu Anda mengelola akses ke sumber daya S3 di tiga tingkatan: tingkat akun, bucket, dan titik akses. Pengaturan di setiap level dapat dikonfigurasi secara independen, memungkinkan Anda memiliki tingkat pembatasan akses publik yang berbeda untuk data Anda. Pengaturan titik akses tidak dapat secara individual mengganti pengaturan yang lebih ketat di tingkat yang lebih tinggi (tingkat akun atau bucket yang ditetapkan ke titik akses). Sebaliknya, pengaturan pada tingkat titik akses bersifat aditif, yang berarti mereka melengkapi dan bekerja bersama pengaturan di tingkat lain. Kecuali jika Anda bermaksud jalur akses S3 dapat diakses publik, Anda harus mengaktifkan blokir pengaturan akses publik.

Remediasi

Saat ini, Amazon S3 tidak mendukung perubahan pengaturan akses publik blokir titik akses setelah titik akses dibuat. Semua pengaturan akses publik blok diaktifkan secara default saat Anda membuat titik akses baru. Kami menyarankan Anda tetap mengaktifkan semua pengaturan kecuali Anda tahu bahwa Anda memiliki kebutuhan khusus untuk menonaktifkan salah satu pengaturan tersebut. Untuk informasi selengkapnya, lihat Mengelola akses publik ke titik akses di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/2.1.2, Tolok Ukur AWS Yayasan CIS v1.4.0/2.1.3, (1), (2) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

Kategori: Lindungi > Perlindungan data > Perlindungan penghapusan data

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::S3::Bucket

AWS Config aturan: s3-bucket-mfa-delete-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah penghapusan autentikasi multi-faktor (MFA) diaktifkan pada bucket berversi tujuan umum Amazon S3. Kontrol gagal jika penghapusan MFA tidak diaktifkan di bucket. Kontrol tidak menghasilkan temuan untuk bucket yang memiliki konfigurasi Siklus Hidup.

Saat bekerja dengan Pembuatan Versi S3 di bucket Amazon S3, Anda dapat menambahkan lapisan keamanan lain secara opsional dengan mengonfigurasi bucket untuk mengaktifkan penghapusan MFA. Saat melakukannya, pemilik bucket harus menyertakan dua bentuk autentikasi dalam setiap permintaan untuk menghapus sebuah versi atau mengubah status Penentuan Versi bucket. MFA delete memberikan keamanan tambahan jika kredensi keamanan Anda disusupi. MFA delete juga dapat membantu mencegah penghapusan bucket yang tidak disengaja dengan mengharuskan pengguna yang memulai tindakan penghapusan untuk membuktikan kepemilikan fisik perangkat MFA dengan kode MFA dan menambahkan lapisan gesekan dan keamanan ekstra ke tindakan penghapusan.

catatan

Fitur penghapusan MFA memerlukan pembuatan versi bucket sebagai dependensi. Bucket versioning adalah metode untuk menyimpan beberapa variasi objek S3 dalam bucket yang sama. Selain itu, hanya pemilik bucket yang masuk sebagai pengguna root yang dapat mengaktifkan penghapusan MFA dan melakukan tindakan penghapusan pada bucket S3.

Remediasi

Untuk mengaktifkan Pembuatan Versi S3 dan mengonfigurasi penghapusan MFA pada bucket, lihat Mengonfigurasi penghapusan MFA di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/3.8, PCI DSS v4.0.1/10.2.1

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::::Account

AWS Config aturan: cloudtrail-all-write-s3-data-event-check

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah an Akun AWS memiliki setidaknya satu jejak AWS CloudTrail Multi-wilayah yang mencatat semua peristiwa data tulis untuk bucket Amazon S3. Kontrol gagal jika akun tidak memiliki jejak Multi-wilayah yang mencatat peristiwa data tulis untuk bucket S3.

Operasi tingkat objek S3, seperti,GetObject, dan DeleteObjectPutObject, disebut peristiwa data. Secara default, CloudTrail tidak mencatat peristiwa data, tetapi Anda dapat mengonfigurasi jejak untuk mencatat peristiwa data untuk bucket S3. Saat mengaktifkan pencatatan tingkat objek untuk peristiwa data tulis, Anda dapat mencatat setiap akses objek (file) individual dalam bucket S3. Mengaktifkan pencatatan tingkat objek dapat membantu Anda memenuhi persyaratan kepatuhan data, melakukan analisis keamanan komprehensif, memantau pola perilaku pengguna tertentu dalam diri Anda Akun AWS, dan mengambil tindakan pada aktivitas API tingkat objek dalam bucket S3 Anda dengan menggunakan Amazon Events. CloudWatch Kontrol ini menghasilkan PASSED temuan jika Anda mengonfigurasi jejak Multi-wilayah yang mencatat hanya penulisan atau semua jenis peristiwa data untuk semua bucket S3.

Remediasi

Untuk mengaktifkan pencatatan tingkat objek untuk bucket S3, lihat Mengaktifkan pencatatan CloudTrail peristiwa untuk bucket dan objek S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/3.9, PCI DSS v4.0.1/10.2.1

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::::Account

AWS Config aturan: cloudtrail-all-read-s3-data-event-check

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah an Akun AWS memiliki setidaknya satu jejak AWS CloudTrail Multi-wilayah yang mencatat semua peristiwa data baca untuk bucket Amazon S3. Kontrol gagal jika akun tidak memiliki jejak Multi-wilayah yang mencatat peristiwa data baca untuk bucket S3.

Operasi tingkat objek S3, seperti,GetObject, dan DeleteObjectPutObject, disebut peristiwa data. Secara default, CloudTrail tidak mencatat peristiwa data, tetapi Anda dapat mengonfigurasi jejak untuk mencatat peristiwa data untuk bucket S3. Saat mengaktifkan pencatatan tingkat objek untuk peristiwa data baca, Anda dapat mencatat setiap akses objek (file) individual dalam bucket S3. Mengaktifkan pencatatan tingkat objek dapat membantu Anda memenuhi persyaratan kepatuhan data, melakukan analisis keamanan komprehensif, memantau pola perilaku pengguna tertentu dalam diri Anda Akun AWS, dan mengambil tindakan pada aktivitas API tingkat objek dalam bucket S3 Anda dengan menggunakan Amazon Events. CloudWatch Kontrol ini menghasilkan PASSED temuan jika Anda mengonfigurasi jejak Multi-wilayah yang mencatat read-only atau semua jenis peristiwa data untuk semua bucket S3.

Remediasi

Untuk mengaktifkan pencatatan tingkat objek untuk bucket S3, lihat Mengaktifkan pencatatan CloudTrail peristiwa untuk bucket dan objek S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

Persyaratan terkait: PCI DSS v4.0.1/1.4.4

Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::S3::MultiRegionAccessPoint

AWS Config aturan: s3-mrap-public-access-blocked (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah Titik Akses Multi-Wilayah Amazon S3 telah mengaktifkan pengaturan akses publik blok. Kontrol gagal ketika Titik Akses Multi-Wilayah tidak mengaktifkan pengaturan akses publik blok.

Sumber daya yang dapat diakses publik dapat menyebabkan akses yang tidak sah, pelanggaran data, atau eksploitasi kerentanan. Membatasi akses melalui tindakan otentikasi dan otorisasi membantu melindungi informasi sensitif dan menjaga integritas sumber daya Anda.

Remediasi

Secara default, semua pengaturan Blokir Akses Publik diaktifkan untuk Titik Akses Multi-Wilayah S3. Untuk informasi selengkapnya, lihat Memblokir akses publik dengan Titik Akses Multi-Wilayah Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Anda tidak dapat mengubah pengaturan Blokir Akses Publik untuk Titik Akses Multi-Wilayah setelah dibuat.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.