Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlli CSPM del Security Hub per Amazon S3
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Simple Storage Service (Amazon S3). I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
**Requisiti correlati:** benchmark CIS AWS Foundations versione 5.0.0/2.1.4, benchmark CIS AWS Foundations versione 3.0.0/2.1.4, benchmark CIS AWS Foundations versione 1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16) NIST.800-53.r5 AC-3, (20), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.6, PCI DSS versione 4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html)
**Tipo di pianificazione:** periodica
**Parametri:**
+ `ignorePublicAcls`: `true` (non personalizzabile)
+ `blockPublicPolicy`: `true` (non personalizzabile)
+ `blockPublicAcls`: `true` (non personalizzabile)
+ `restrictPublicBuckets`: `true` (non personalizzabile)
Questo controllo verifica se le precedenti impostazioni di accesso pubblico a blocchi di Amazon S3 sono configurate a livello di account per un bucket S3 generico. Il controllo fallisce se una o più impostazioni di accesso pubblico a blocchi sono impostate su. `false`
Il controllo ha esito negativo se una delle impostazioni è impostata su o se una delle impostazioni non è configurata. `false`
Il blocco di accesso pubblico di Amazon S3 è progettato per fornire controlli su un intero bucket S3 Account AWS o a livello di singolo bucket S3 per garantire che gli oggetti non abbiano mai accesso pubblico. L'accesso pubblico a bucket e oggetti viene concesso tramite liste di controllo degli accessi (ACLs), policy relative ai bucket o entrambe.
A meno che tu non intenda rendere i tuoi bucket S3 accessibili al pubblico, devi configurare la funzionalità Amazon S3 Block Public Access a livello di account.
Per ulteriori informazioni, consulta [Using Amazon S3 Block Public Access](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) nella Guida per l'*utente di Amazon Simple Storage Service*.
### Correzione
Per abilitare Amazon S3 Block Public Access per il tuo account Account AWS, consulta [Configurazione delle impostazioni di accesso pubblico a blocchi per il tuo account nella Guida per l'utente](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html) di *Amazon Simple Storage Service*.
## [S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura
**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16) NIST.800-53.r5 AC-3, (20), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (3) NIST.800-53.r5 AC-6, (4)) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Severità:** critica
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited)
**Tipo di pianificazione:** periodica e con attivazione di modifiche
**Parametri:** nessuno
Questo controllo verifica se un bucket Amazon S3 per uso generico consente l'accesso pubblico in lettura. Esamina le impostazioni di blocco dell'accesso pubblico, la policy del bucket e la lista di controllo accessi (ACL) del bucket. Il controllo fallisce se il bucket consente l'accesso pubblico in lettura.
**Nota**
Se un bucket S3 ha una policy bucket, questo controllo non valuta le condizioni delle policy che utilizzano caratteri jolly o variabili. Per produrre un `PASSED` risultato, le condizioni della bucket policy devono utilizzare solo valori fissi, ossia valori che non contengono caratteri jolly o variabili di policy. Per informazioni sulle variabili di policy, consulta [Variabili e tag nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) per l'*AWS Identity and Access Management utente*.
Alcuni casi d'uso potrebbero richiedere che tutti gli utenti di Internet siano in grado di leggere dal tuo bucket S3. Tuttavia, queste situazioni sono rare. Per garantire l'integrità e la sicurezza dei dati, il bucket S3 non deve essere leggibile pubblicamente.
### Correzione
Per bloccare l'accesso pubblico in lettura sui tuoi bucket Amazon S3, consulta [Configurazione delle impostazioni di accesso pubblico a blocchi per i tuoi bucket S3 nella Guida per l'utente di *Amazon* Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) Storage Service.
## [S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura
**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.6, PCI DSS versione 3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20), (21) NIST.800-53.r5 AC-3, (3), (4) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (9) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Severità:** critica
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html)
**Tipo di pianificazione:** periodica e con attivazione di modifiche
**Parametri:** nessuno
Questo controllo verifica se un bucket Amazon S3 per uso generico consente l'accesso pubblico in scrittura. Esamina le impostazioni di blocco dell'accesso pubblico, la policy del bucket e la lista di controllo accessi (ACL) del bucket. Il controllo fallisce se il bucket consente l'accesso pubblico in scrittura.
**Nota**
Se un bucket S3 ha una policy bucket, questo controllo non valuta le condizioni delle policy che utilizzano caratteri jolly o variabili. Per produrre un `PASSED` risultato, le condizioni della bucket policy devono utilizzare solo valori fissi, ossia valori che non contengono caratteri jolly o variabili di policy. Per informazioni sulle variabili di policy, consulta [Variabili e tag nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) per l'*AWS Identity and Access Management utente*.
Alcuni casi d'uso prevedono che chiunque su Internet sia in grado di scrivere nel bucket S3. Tuttavia, queste situazioni sono rare. Per garantire l'integrità e la sicurezza dei dati, il bucket S3 non deve essere scrivibile pubblicamente.
### Correzione
Per bloccare l'accesso pubblico in scrittura sui tuoi bucket Amazon S3, consulta [Configurazione delle impostazioni di accesso pubblico a blocchi per i tuoi bucket S3 nella Guida per l'utente di *Amazon* Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) Storage Service.
## [S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL
**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/2.1.1, CIS AWS Foundations Benchmark v3.0.0/2.1.1, CIS Foundations Benchmark v1.4.0/2.1.2, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3), 3, 3 (3), (4), (1), NIST.800-53.r5 IA-5 (2) NIST.800-53.r5 AC-4, NIST.800-53.R5 SI-7 (6), NIST.800-53.r5 SC-1 NIST.800-53.R5 SI-7 (6), NIST.800-53.r5 SC-7 NIST.800-53.R5 -171.r2 3.13.8 NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.15, PCI DSS versione 3.2.1/4.1, PCI DSS versione 4.0.1/4.2.1 AWS NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un bucket Amazon S3 per uso generico ha una politica che richiede richieste di utilizzo di SSL. Il controllo fallisce se la policy del bucket non richiede richieste di utilizzo di SSL.
I bucket S3 devono avere politiche che richiedono che tutte le richieste (`Action: S3:*`) accettino solo la trasmissione di dati tramite HTTPS nella politica delle risorse S3, indicata dalla chiave di condizione. `aws:SecureTransport`
### Correzione
*Per aggiornare una policy sui bucket di Amazon S3 per impedire il trasporto non sicuro, consulta [Aggiungere una policy sui bucket utilizzando la console Amazon S3 nella Guida per l'utente di Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) Storage Service.*
Aggiungi una dichiarazione di policy simile a quella riportata nella seguente policy. Sostituiscilo `amzn-s3-demo-bucket` con il nome del bucket che stai modificando.
------
#### [ JSON ]
****
```
{
"Id": "ExamplePolicy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
Per ulteriori informazioni, consulta [Quale policy sui bucket S3 devo usare per rispettare la AWS Config](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/) regola s3-? bucket-ssl-requests-only nel Knowledge Center *AWS ufficiale*.
## [S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-171.r2 3.13.4
**Categoria**: Protezione > Gestione sicura degli accessi > Azioni operative API sensibili limitate
**Gravità:** alta
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config**: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `blacklistedactionpatterns`: `s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl` (non personalizzabile)
Questo controllo verifica se una policy sui bucket generici di Amazon S3 impedisce ai principali di eseguire azioni negate sulle risorse nel bucket S3. Account AWS Il controllo fallisce se la bucket policy consente una o più delle azioni precedenti per un principale in un altro. Account AWS
L'implementazione dell'accesso con privilegi minimi è fondamentale per ridurre i rischi per la sicurezza e l'impatto di errori o intenzioni malevole. Se una policy S3 bucket consente l'accesso da account esterni, potrebbe causare l'esfiltrazione dei dati da parte di una minaccia interna o di un aggressore.
Il `blacklistedactionpatterns` parametro consente una valutazione corretta della regola per i bucket S3. Il parametro consente l'accesso agli account esterni per i modelli di azione che non sono inclusi nell'elenco. `blacklistedactionpatterns`
### Correzione
Per aggiornare una policy sui bucket di Amazon S3 per rimuovere le autorizzazioni, consulta. [Aggiungere una policy bucket utilizzando la console Amazon S3 nella](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) Guida per l'utente di *Amazon Simple Storage Service*.
Nella pagina **Modifica policy bucket**, nella casella di testo per la modifica della policy, esegui una delle seguenti azioni:
+ Rimuovi le dichiarazioni che concedono ad altri Account AWS l'accesso alle azioni negate.
+ Rimuovi le azioni negate consentite dalle dichiarazioni.
## [S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni
**Requisiti correlati:** PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2), (2), NIST.800-53.r5 SI-13 (5) NIST.800-53.r5 SC-5
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::S3::Bucket`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html)**
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se in un bucket Amazon S3 per uso generico è abilitata la replica tra regioni. Il controllo fallisce se nel bucket non è abilitata la replica tra regioni.
La replica è la copia automatica e asincrona di oggetti tra bucket uguali o diversi. Regioni AWS La replica copia gli oggetti appena creati e gli aggiornamenti degli oggetti da un bucket di origine a uno o più bucket di destinazione. AWS le migliori pratiche consigliano la replica per i bucket di origine e di destinazione di proprietà degli stessi. Account AWS Oltre alla disponibilità, è necessario prendere in considerazione altre impostazioni di protezione dei sistemi.
Questo controllo produce una `FAILED` ricerca per un bucket di destinazione di replica se non ha la replica tra regioni abilitata. Se esiste un motivo legittimo per cui il bucket di destinazione non necessita della replica tra regioni per essere abilitato, puoi sopprimere i risultati per questo bucket.
### Correzione
*Per abilitare la replica tra regioni su un bucket S3, consulta [Configurazione della replica per i bucket di origine e destinazione di proprietà dello stesso account nella Guida per l'utente di Amazon Simple Storage](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-walkthrough1.html) Service.* **Per **Source bucket, scegli Applica a tutti gli oggetti nel bucket**.**
## [S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico
**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/2.1.4, CIS AWS Foundations Benchmark v3.0.02.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi
**Gravità:** alta
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `excludedPublicBuckets`(non personalizzabile): un elenco separato da virgole di nomi di bucket S3 pubblici e noti e consentiti
Questo controllo verifica se un bucket generico Amazon S3 blocca l'accesso pubblico a livello di bucket. Il controllo fallisce se una delle seguenti impostazioni è impostata su: `false`
+ `ignorePublicAcls`
+ `blockPublicPolicy`
+ `blockPublicAcls`
+ `restrictPublicBuckets`
Block Public Access a livello di bucket S3 fornisce controlli per garantire che gli oggetti non abbiano mai accesso pubblico. L'accesso pubblico è concesso a bucket e oggetti tramite liste di controllo degli accessi (ACLs), policy relative ai bucket o entrambe.
A meno che tu non intenda rendere i tuoi bucket S3 accessibili al pubblico, devi configurare la funzionalità Amazon S3 Block Public Access a livello di bucket.
### Correzione
Per informazioni su come rimuovere l'accesso pubblico a livello di bucket, consulta [Bloccare l'accesso pubblico allo storage Amazon S3 nella Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) *User Guide*.
## [S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.3.8, PCI DSS v4.0.1/10.2.1
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la registrazione degli accessi al server è abilitata per un bucket Amazon S3 per uso generico. Il controllo fallisce se la registrazione degli accessi al server non è abilitata. Quando la registrazione è abilitata, Amazon S3 fornisce i log di accesso per un bucket di origine a un bucket di destinazione scelto. Il bucket di destinazione deve trovarsi nello stesso Regione AWS del bucket di origine e non deve avere un periodo di conservazione predefinito configurato. Non è necessario che nel bucket di registrazione di destinazione sia abilitata la registrazione degli accessi al server ed è necessario eliminare i risultati relativi a questo bucket.
La registrazione degli accessi al server fornisce registrazioni dettagliate delle richieste effettuate a un bucket. I log di accesso al server possono aiutare nei controlli di sicurezza e di accesso. Per ulteriori informazioni, consulta [Best practice di sicurezza per Amazon S3: abilitare la registrazione degli accessi ai server Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html).
### Correzione
*Per abilitare la registrazione degli accessi ai server Amazon S3, consulta Enabling Amazon [S3 server access logging nella Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html) User Guide.*
## [S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita
**Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13** (5)
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un bucket con versione generica di Amazon S3 ha una configurazione del ciclo di vita. Il controllo fallisce se il bucket non ha una configurazione del ciclo di vita.
Ti consigliamo di creare una configurazione del ciclo di vita per il tuo bucket S3 per aiutarti a definire le azioni che desideri che Amazon S3 intraprenda durante la vita di un oggetto.
### Correzione
[Per ulteriori informazioni sulla configurazione del ciclo di vita su un bucket Amazon S3, consulta [Impostazione della configurazione del ciclo di vita su un bucket e Gestione del ciclo](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) di vita dello storage.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)
## [S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate
**Requisiti correlati:** NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 (8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (4), NIST.800-171.r2 3.3.8
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `eventTypes` | Elenco dei tipi di eventi S3 preferiti | EnumList (massimo 28 articoli) | `s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent` | Nessun valore predefinito |
Questo controllo verifica se le notifiche degli eventi S3 sono abilitate su un bucket Amazon S3 per uso generico. Il controllo fallisce se le notifiche degli eventi S3 non sono abilitate nel bucket. Se fornisci valori personalizzati per il `eventTypes` parametro, il controllo passa solo se le notifiche degli eventi sono abilitate per i tipi di eventi specificati.
Quando abiliti le notifiche di eventi S3, ricevi avvisi quando si verificano eventi specifici che influiscono sui bucket S3. Ad esempio, puoi ricevere notifiche sulla creazione, la rimozione e il ripristino degli oggetti. Queste notifiche possono avvisare i team competenti in caso di modifiche accidentali o intenzionali che possono portare all'accesso non autorizzato ai dati.
### Correzione
*Per informazioni sul rilevamento delle modifiche ai bucket e agli oggetti S3, consulta Amazon S3 [Event Notifications nella Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html) User Guide.*
## [S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi
**Gravità:** media
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un bucket Amazon S3 per uso generico fornisce autorizzazioni utente con una lista di controllo degli accessi (ACL). Il controllo fallisce se un ACL è configurato per la gestione dell'accesso degli utenti al bucket.
ACLs sono meccanismi di controllo degli accessi legacy precedenti a IAM. Ti consigliamo invece di ACLs utilizzare le policy dei bucket S3 o le policy AWS Identity and Access Management (IAM) per gestire l'accesso ai bucket S3.
### Correzione
Per passare questo controllo, devi disabilitarlo ACLs per i tuoi bucket S3. Per istruzioni, consulta la sezione [Controllo della proprietà degli oggetti e disattivazione del bucket nella Guida ACLs per](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) l'*utente di Amazon Simple Storage Service*.
Per creare una policy per i bucket S3, consulta [Aggiungere una policy per i bucket utilizzando la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html). Per creare una policy utente IAM su un bucket S3, consulta [Controllare l'accesso a](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html#walkthrough-grant-user1-permissions) un bucket con le policy utente.
## [S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Categoria**: Proteggi > Protezione dei dati
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `targetTransitionDays` | Numero di giorni dopo la creazione dell'oggetto, quando gli oggetti vengono trasferiti a una classe di archiviazione specificata | Numero intero | `1` Da a `36500` | Nessun valore predefinito |
| `targetExpirationDays` | Numero di giorni dopo la creazione dell'oggetto in cui gli oggetti vengono eliminati | Numero intero | `1` Da a `36500` | Nessun valore predefinito |
| `targetTransitionStorageClass` | Tipo di classe di archiviazione S3 di destinazione | Enum | `STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE` | Nessun valore predefinito |
Questo controllo verifica se un bucket Amazon S3 per uso generico ha una configurazione del ciclo di vita. Il controllo fallisce se il bucket non ha una configurazione del ciclo di vita. Se fornisci valori personalizzati per uno o più dei parametri precedenti, il controllo passa solo se la policy include la classe di archiviazione, il tempo di eliminazione o il tempo di transizione specificati.
La creazione di una configurazione del ciclo di vita per il tuo bucket S3 definisce le azioni che vuoi che Amazon S3 intraprenda durante la vita di un oggetto. Ad esempio, puoi trasferire oggetti in un'altra classe di storage, archiviarli o eliminarli dopo un periodo di tempo specificato.
### Correzione
*Per informazioni sulla configurazione delle politiche del ciclo di vita su un bucket Amazon S3, consulta [Setting lifecycle configuration on a bucket e Managing your [storage lifecycle](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) nella Amazon S3 User Guide.*
## [S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato
**Categoria:** Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati
**Requisiti correlati:** NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5), NIST.800-171.r2 3.3.8
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un bucket Amazon S3 per uso generico ha il controllo delle versioni abilitato. Il controllo fallisce se il controllo delle versioni è sospeso per il bucket.
Il controllo delle versioni mantiene più varianti di un oggetto nello stesso bucket S3. Puoi utilizzare il controllo delle versioni per conservare, recuperare e ripristinare versioni precedenti di un oggetto archiviato nel tuo bucket S3. Il controllo delle versioni ti aiuta a recuperare sia da azioni involontarie dell'utente che da errori delle applicazioni.
**Suggerimento**
Man mano che il numero di oggetti in un bucket aumenta a causa del controllo delle versioni, è possibile impostare una configurazione del ciclo di vita per archiviare o eliminare automaticamente gli oggetti con versioni in base a regole. Per ulteriori informazioni, consulta [Amazon S3 Lifecycle Management](https://aws.amazon.com/blogs/aws/amazon-s3-lifecycle-management-update/) for Versioned Objects.
### Correzione
*Per utilizzare il controllo delle versioni su un bucket S3, consulta [Enabling versioning on bucket nella Amazon S3 User](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html) Guide.*
## [S3.15] I bucket generici S3 devono avere Object Lock abilitato
**Categoria:** Proteggi > Protezione dei dati > Protezione dalla cancellazione dei dati
**Requisiti correlati:** NIST.800-53.r5 CP-6 (2), PCI DSS v4.0.1/10.5.1
**Gravità:** media
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `mode` | Modalità di conservazione di S3 Object Lock | Enum | `GOVERNANCE`, `COMPLIANCE` | Nessun valore predefinito |
Questo controllo verifica se un bucket Amazon S3 per uso generico ha Object Lock abilitato. Il controllo fallisce se Object Lock non è abilitato per il bucket. Se fornite un valore personalizzato per il `mode` parametro, il controllo passa solo se S3 Object Lock utilizza la modalità di conservazione specificata.
È possibile utilizzare S3 Object Lock per memorizzare oggetti utilizzando un modello write-once-read-many (WORM). Object Lock può aiutare a impedire che gli oggetti nei bucket S3 vengano eliminati o sovrascritti per un periodo di tempo fisso o indefinitamente. Puoi utilizzare il blocco oggetti S3 per soddisfare i requisiti normativi che richiedono uno storage WORM o aggiungere un ulteriore livello di protezione contro le modifiche e l'eliminazione degli oggetti.
### Correzione
*Per configurare Object Lock per bucket S3 nuovi ed esistenti, consulta [Configuring S3 Object Lock nella Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html) User Guide.*
## [S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-at-rest
**Requisiti correlati:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 NIST.800-53.r5 CA-9 (6), NIST.800-53.r5 AU-9, NIST.800-171.r2 3.8.9, NIST.800-171.r2 3.13.11, NIST.800-171.r2 3.13.16, PCI DSS v4.0.3.11 5.1
**Gravità:** media
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un bucket Amazon S3 per uso generico è crittografato con un AWS KMS key (SSE-KMS o DSSE-KMS). Il controllo fallisce se il bucket è crittografato con crittografia predefinita (SSE-S3).
La crittografia lato server (SSE) è la crittografia dei dati a destinazione da parte dell'applicazione o del servizio che li riceve. Se non diversamente specificato, i bucket S3 utilizzano le chiavi gestite di Amazon S3 (SSE-S3) per impostazione predefinita per la crittografia lato server. Tuttavia, per un maggiore controllo, puoi scegliere di configurare i bucket per utilizzare invece la crittografia lato server (SSE-KMS o DSSE-KMS). AWS KMS keys Amazon S3 crittografa i dati a livello di oggetto mentre li scrive su dischi nei data AWS center e li decrittografa per te quando vi accedi.
### Correzione
*Per crittografare un bucket S3 utilizzando SSE-KMS, consulta [Specificare la crittografia lato server con (SSE-KMS) nella Amazon AWS KMS S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html) User Guide.* *Per crittografare un bucket S3 utilizzando DSSE-KMS, consulta [Specificare la crittografia lato server a doppio livello con ( AWS KMS keys DSSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-dsse-encryption.html)) nella Guida per l'utente di Amazon S3.*
## [S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4
**Categoria: Protezione > Gestione sicura degli accessi** > Risorsa non accessibile al pubblico
**Severità:** critica
**Tipo di risorsa:** `AWS::S3::AccessPoint`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un punto di accesso Amazon S3 ha abilitato le impostazioni di blocco dell'accesso pubblico. Il controllo fallisce se le impostazioni di blocco dell'accesso pubblico non sono abilitate per il punto di accesso.
La funzionalità Amazon S3 Block Public Access ti aiuta a gestire l'accesso alle tue risorse S3 a tre livelli: account, bucket e access point. Le impostazioni a ciascun livello possono essere configurate in modo indipendente, consentendoti di avere diversi livelli di restrizioni di accesso pubblico ai tuoi dati. Le impostazioni del punto di accesso non possono sovrascrivere individualmente le impostazioni più restrittive ai livelli superiori (livello di account o bucket assegnato al punto di accesso). Al contrario, le impostazioni a livello del punto di accesso sono additive, il che significa che completano e funzionano insieme alle impostazioni degli altri livelli. A meno che tu non voglia che un punto di accesso S3 sia accessibile al pubblico, devi abilitare le impostazioni di blocco dell'accesso pubblico.
### Correzione
Amazon S3 attualmente non supporta la modifica delle impostazioni di blocco dell'accesso pubblico di un punto di accesso dopo la creazione del punto di accesso. Tutte le impostazioni di blocco dell'accesso pubblico sono abilitate per impostazione predefinita quando crei un nuovo punto di accesso. È consigliabile lasciare tutte le impostazioni abilitate, a meno che tu non debba necessariamente disabilitarne una specifica. Per ulteriori informazioni, consulta [la sezione Gestione dell'accesso pubblico agli access point](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-bpa-settings.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
## [S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/2.1.2, CIS Foundations Benchmark v3.0.0/2.1.2, CIS AWS Foundations Benchmark v1.4.0/2.1.3, (1), (2) AWS NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
**Categoria**: Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'eliminazione dell'autenticazione a più fattori (MFA) è abilitata per un bucket Amazon S3 generico. Il controllo fallisce se l'eliminazione MFA non è abilitata per il bucket. Il controllo non produce risultati per i bucket con una configurazione del ciclo di vita.
Se abiliti il controllo delle versioni per un bucket S3 generico, puoi facoltativamente aggiungere un altro livello di sicurezza configurando l'eliminazione MFA per il bucket. In tal caso, il proprietario del bucket deve includere due forme di autenticazione in ogni richiesta per eliminare una versione di un oggetto nel bucket o modificare lo stato di controllo delle versioni del bucket. L'eliminazione MFA fornisce una maggiore sicurezza se, ad esempio, le credenziali di sicurezza del proprietario del bucket sono compromesse. L'eliminazione MFA può anche aiutare a prevenire le eliminazioni accidentali dei bucket richiedendo all'utente che avvia l'azione di eliminazione di dimostrare il possesso fisico di un dispositivo MFA con un codice MFA, che aggiunge un ulteriore livello di attrito e sicurezza all'azione di eliminazione.
**Nota**
Questo controllo produce un `PASSED` risultato solo se l'eliminazione MFA è abilitata per il bucket generico S3. Per abilitare l'eliminazione MFA per un bucket, è necessario abilitare anche il controllo delle versioni per il bucket. Il controllo delle versioni del bucket è un metodo per archiviare più varianti di un oggetto S3 nello stesso bucket. Inoltre, solo il proprietario del bucket che ha effettuato l'accesso come utente root può abilitare l'eliminazione MFA ed eseguire azioni di eliminazione sul bucket. Non è possibile utilizzare MFA delete con un bucket con una configurazione del ciclo di vita.
### Correzione
*Per informazioni sull'abilitazione del controllo delle versioni e sulla configurazione dell'eliminazione MFA per un bucket S3, consulta [Configuring MFA delete](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) nella Amazon Simple Storage Service User Guide.*
## [S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto
**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/3.8, CIS AWS Foundations Benchmark v3.0.0/3.8, PCI DSS v4.0.1/10.2.1 AWS
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un utente Account AWS dispone di almeno un percorso AWS CloudTrail multiregionale che registra tutti gli eventi di scrittura dei dati per i bucket Amazon S3. Il controllo fallisce se l'account non dispone di un percorso multiregionale che registra gli eventi di scrittura dei dati per i bucket S3.
Le operazioni a livello di oggetto S3, ad esempio, e, sono chiamate eventi relativi ai `GetObject` dati`DeleteObject`. `PutObject` Per impostazione predefinita, CloudTrail non registra gli eventi relativi ai dati, ma puoi configurare percorsi per registrare gli eventi relativi ai dati per i bucket S3. Quando abiliti la registrazione a livello di oggetto per gli eventi di scrittura dei dati, puoi registrare l'accesso a ogni singolo oggetto (file) all'interno di un bucket S3. L'abilitazione della registrazione a livello di oggetto può aiutarti a soddisfare i requisiti di conformità dei dati, eseguire analisi di sicurezza complete, monitorare modelli specifici di comportamento degli utenti e intervenire sull'attività delle API a livello di oggetto all'interno dei tuoi bucket S3 utilizzando Amazon Events. Account AWS CloudWatch Questo controllo produce un `PASSED` risultato se configuri un percorso multiregionale che registra eventi di sola scrittura o tutti i tipi di dati per tutti i bucket S3.
### Correzione
*Per abilitare la registrazione a livello di oggetto per i bucket S3, consulta [Enabling CloudTrail event logging for S3 bucket and objects nella Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) Storage Service User Guide.*
## [S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto
**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.9, PCI DSS v4.0.1/10.2.1 AWS
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un utente Account AWS dispone di almeno un percorso AWS CloudTrail multiregionale che registra tutti gli eventi di lettura dei dati per i bucket Amazon S3. Il controllo fallisce se l'account non dispone di un percorso multiregionale che registra gli eventi dei dati di lettura per i bucket S3.
Le operazioni a livello di oggetto S3, ad esempio, e, sono chiamate eventi relativi ai `GetObject` dati`DeleteObject`. `PutObject` Per impostazione predefinita, CloudTrail non registra gli eventi relativi ai dati, ma puoi configurare percorsi per registrare gli eventi relativi ai dati per i bucket S3. Quando abiliti la registrazione a livello di oggetto per gli eventi di lettura dei dati, puoi registrare l'accesso a ogni singolo oggetto (file) all'interno di un bucket S3. L'abilitazione della registrazione a livello di oggetto può aiutarti a soddisfare i requisiti di conformità dei dati, eseguire analisi di sicurezza complete, monitorare modelli specifici di comportamento degli utenti e intervenire sull'attività delle API a livello di oggetto all'interno dei tuoi bucket S3 utilizzando Amazon Events. Account AWS CloudWatch Questo controllo produce `PASSED` risultati se configuri un percorso multiregionale che registra eventi di sola lettura o tutti i tipi di eventi relativi ai dati per tutti i bucket S3.
### Correzione
*Per abilitare la registrazione a livello di oggetto per i bucket S3, consulta [Enabling CloudTrail event logging for S3 bucket and objects nella Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) Storage Service User Guide.*
## [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
**Requisiti correlati**: PCI DSS v4.0.1/1.4.4
**Categoria:** Protezione > Configurazione sicura della rete > Risorse non accessibili al pubblico
**Gravità:** alta
**Tipo di risorsa:** `AWS::S3::MultiRegionAccessPoint`
**AWS Config regola:** `s3-mrap-public-access-blocked` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se un punto di accesso multiregionale Amazon S3 ha abilitato le impostazioni di blocco dell'accesso pubblico. Il controllo fallisce quando nel punto di accesso multiregionale non sono abilitate le impostazioni di blocco dell'accesso pubblico.
Le risorse accessibili al pubblico possono comportare accessi non autorizzati, violazioni dei dati o sfruttamento di vulnerabilità. Limitare l'accesso tramite misure di autenticazione e autorizzazione aiuta a salvaguardare le informazioni sensibili e a mantenere l'integrità delle risorse.
### Correzione
Per impostazione predefinita, tutte le impostazioni Block Public Access sono abilitate per un punto di accesso multiregionale S3. Per ulteriori informazioni, consulta [Bloccare l'accesso pubblico con punti di accesso multiregionali Amazon S3 nella Guida per l'](https://docs.aws.amazon.com/AmazonS3/latest/userguide/multi-region-access-point-block-public-access.html)utente di *Amazon Simple Storage Service*. Dopo la creazione del punto di accesso multi-regione, non puoi più modificare le relative impostazioni di blocco dell'accesso pubblico.
## [S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
**Categoria:** Proteggi > Protezione dei dati
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::S3Express::DirectoryBucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `targetExpirationDays` | Il numero di giorni, dopo la creazione dell'oggetto, in cui gli oggetti devono scadere. | Numero intero | `1` Da a `2147483647` | Nessun valore predefinito |
Questo controllo verifica se le regole del ciclo di vita sono configurate per un bucket di directory S3. Il controllo fallisce se le regole del ciclo di vita non sono configurate per il bucket di directory o se una regola del ciclo di vita per il bucket specifica impostazioni di scadenza che non corrispondono al valore del parametro specificato facoltativamente.
In Amazon S3, una configurazione del ciclo di vita è un insieme di regole che definiscono le azioni che Amazon S3 deve applicare a un gruppo di oggetti in un bucket. Per un bucket di directory S3, puoi creare una regola del ciclo di vita che specifica quando gli oggetti scadono in base all'età (in giorni). Puoi anche creare una regola del ciclo di vita che elimini i caricamenti multiparte incompleti. A differenza di altri tipi di bucket S3, come i bucket generici, i bucket di directory non supportano altri tipi di azioni per le regole del ciclo di vita, come la transizione di oggetti tra classi di storage.
### Correzione
Per definire una configurazione del ciclo di vita per un bucket di directory S3, crea una regola del ciclo di vita per il bucket. Per ulteriori informazioni, consulta [Creazione e gestione di una configurazione del ciclo di vita per il tuo bucket di directory nella Guida](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-bucket-create-lc.html) per l'utente di *Amazon Simple Storage Service*.