本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 适用于亚马逊 S3 的 Security Hub CSPM 控件
这些 AWS Security Hub CSPM 控制措施评估亚马逊简单存储服务 (Amazon S3) Service 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。
## [S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置
**相关要求:**独联体 AWS 基金会基准 v5.0.0/2.1.4、CIS 基金会基准 v3.0.0/2.1.4、CIS AWS 基金会基准 v1.4.0/2.1.5、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3(7)、、(21)、、(11)、(16)、(20)、(21) NIST.800-53.r5 AC-3、(3)、(4)、 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7(9) NIST.800-53.r5 AC-4、PCI DSS v3.2.1/1.1 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.1、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.1 3.1、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v4.0.1/1.4.4 AWS NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**类别:**保护 > 安全网络配置
**严重性:**中
**资源类型:**`AWS::::Account`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html)
**计划类型:**定期
**参数:**
+ `ignorePublicAcls`:`true`(不可自定义)
+ `blockPublicPolicy`:`true`(不可自定义)
+ `blockPublicAcls`:`true`(不可自定义)
+ `restrictPublicBuckets`:`true`(不可自定义)
此控件可检查是否在账户级别为 S3 通用存储桶配置了上述 Amazon S3 屏蔽公共访问权限设置。如果将一个或多个屏蔽公共访问权限设置设为 `false`,则此控件将失败。
如果将任何设置设置为 `false`,或者未配置任何设置,则控制失败。
Amazon S3 公有访问区块旨在提供对整个 S3 存储桶 AWS 账户 或单个 S3 存储桶级别的控制,以确保对象永远无法公开访问。通过访问控制列表 (ACLs)、存储桶策略或两者兼而有之,向存储桶和对象授予公共访问权限。
除非您打算让 S3 存储桶可公开访问,否则您应该配置账户级别 Amazon S3 屏蔽公共访问权限功能。
要了解更多信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[使用 Amazon S3 屏蔽公共访问权限](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html)。
### 修复
要为您启用 Amazon S3 [阻止公共访问 AWS 账户,请参阅《*亚马逊简单存储服务用户指南*》中的为您的账户配置阻止公开访问设置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html)。
## [S3.2] S3 通用存储桶应阻止公共读取访问权限
**相关要求:**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3(7)、(21)、(11)、(16)、(20)、(21)、(3) NIST.800-53.r5 AC-3、(4),(9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**类别:**保护 > 安全网络配置
**严重性:**严重
**资源类型:**`AWS::S3::Bucket`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited)
**计划类型:**定期计划和触发变更
**参数:**无
此控件可检查 Amazon S3 通用存储桶是否允许公共读取访问权限。它会对阻止公有访问设置、存储桶策略和存储桶访问控制列表(ACL)进行评估。如果存储桶允许公共读取访问权限,则此控件将失败。
**注意**
如果 S3 存储桶具有存储桶策略,则此控件不会评估使用通配符或变量的策略条件。要生成 `PASSED` 调查发现,存储桶策略中的条件只能使用固定值,即不包含通配符或策略变量的值。有关策略变量的信息,请参阅《AWS Identity and Access Management 用户指南》**中的[变量和标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。
有些使用案例可能要求 Internet 上的每个人都能够从 S3 存储桶中读取数据。然而,这种情况很少见。为确保数据的完整性和安全性,您的 S3 存储桶不应可公开读取。
### 修复
要阻止对您的 Amazon S3 存储桶的公共读取权限,请参阅 *Amazon 简单存储服务用户指南*中的[为 S3 存储桶配置阻止公开访问设置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)。
## [S3.3] S3 通用存储桶应阻止公共写入访问权限
**相关要求:**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、1、、(7)、(21)、(21)、(16)、(20)、(21)、(3)、(4)、(9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**类别:**保护 > 安全网络配置
**严重性:**严重
**资源类型:**`AWS::S3::Bucket`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html)
**计划类型:**定期计划和触发变更
**参数:**无
此控件可检查 Amazon S3 通用存储桶是否允许公共写入访问权限。它会对阻止公有访问设置、存储桶策略和存储桶访问控制列表(ACL)进行评估。如果存储桶允许公共写入访问权限,则此控件将失败。
**注意**
如果 S3 存储桶具有存储桶策略,则此控件不会评估使用通配符或变量的策略条件。要生成 `PASSED` 调查发现,存储桶策略中的条件只能使用固定值,即不包含通配符或策略变量的值。有关策略变量的信息,请参阅《AWS Identity and Access Management 用户指南》**中的[变量和标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。
有些使用案例要求互联网上的每个人都能写入您的 S3 存储桶。然而,这种情况很少见。为确保数据的完整性和安全性,您的 S3 存储桶不应可公开写入。
### 修复
要阻止对您的 Amazon S3 存储桶的公共写入权限,请参阅 *Amazon 简单存储服务用户指南*中的[为 S3 存储桶配置阻止公开访问设置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)。
## [S3.5] S3 通用存储桶应需要请求才能使用 SSL
**相关要求:**独联体 AWS 基金会基准 v5.0.0/2.1.1、CIS 基金会基准 v3.0.0/2.1.1、CIS AWS 基金会基准 v1.4.0/2.1.2、7 (2)、、(1)、2 (3)、3、(3)、(4)、(1)、(2) NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5 nist.800-53.r5 SI AWS - NIST.800-53.r5 AC-1 7 (6)、nist.800-171.r NIST.800-53.r5 SC-1 2 3.13.8、 NIST.800-53.r5 SC-2 nist.800-171.r2 3.13.15、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/4.1 NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.1、PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8
**类别:**保护 > 安全访问管理
**严重性:**中
**资源类型:**`AWS::S3::Bucket`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html)
**计划类型:**已触发变更
**参数:**无
此控件可检查 Amazon S3 通用存储桶是否具有需要请求才能使用 SSL 的策略。如果存储桶策略不需要请求来使用 SSL,则此控件将失败。
S3 存储桶的策略应要求所有请求(`Action: S3:*`)在 S3 资源策略中仅接受通过 HTTPS 传输的数据,由条件密钥 `aws:SecureTransport` 表示。
### 修复
要更新 Amazon S3 存储桶策略以拒绝不安全传输,请参阅《Amazon Simple Storage Service 用户指南》**中的[使用 Amazon S3 控制台添加存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。
添加与以下策略中的策略语句相似的策略语句。将 `amzn-s3-demo-bucket` 替换为您要修改的存储桶的名称。
------
#### [ JSON ]
****
```
{
"Id": "ExamplePolicy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
有关更多信息,请参阅[我应该使用哪个 S3 存储桶策略来遵守 AWS Config 规则 s3-bucket-ssl-requests-only?](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/) 在*AWS 官方知识中心*中。
## [S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 AWS 账户
**相关要求:** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-171.r2 3.13.4
**类别:**保护 > 安全访问管理 > 敏感的 API 操作操作受限
**严重性:**高
**资源类型:**`AWS::S3::Bucket`
**AWS Config** 规则:[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html)
**计划类型:**已触发变更
**参数:**
+ `blacklistedactionpatterns`:`s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl`(不可自定义)
此控件可检查 Amazon S3 通用存储桶策略是否阻止其他 AWS 账户 的主体对 S3 存储桶中的资源执行被拒绝的操作。如果存储桶策略允许另一个 AWS 账户中的主体执行上述一项或多项操作,则此控件将失败。
实施最低权限访问对于降低安全风险以及错误或恶意意图的影响至关重要。如果 S3 存储桶策略允许从外部账户进行访问,则可能会导致内部威胁或攻击者泄露数据。
`blacklistedactionpatterns` 参数允许成功评估 S3 存储桶的规则。该参数授予对未包含在 `blacklistedactionpatterns` 列表中的操作模式的外部账户访问权限。
### 修复
要更新 Amazon S3 存储桶策略以删除权限,请参阅 *Amazon Simple Storage Service 用户指南*中的[使用 Amazon S3 控制台添加存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。
在**编辑存储桶策略**页面的策略编辑文本框中,执行以下操作之一:
+ 删除授予其他 AWS 账户 访问被拒绝操作的权限的语句。
+ 从语句中删除允许的拒绝操作。
## [S3.7] S3 通用存储桶应使用跨区域复制
**相关要求:**PCI DSS v3.2.1/2.2、 NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2)、(2)、nist.800-53.r5 NIST.800-53.r5 SC-5 SI-13 (5)
**类别:**保护 > 安全访问管理
**严重性:**低
**资源类型:**`AWS::S3::Bucket`
**AWS Config 规则:[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html)**
**计划类型:**已触发变更
**参数:**无
此控件可检查 Amazon S3 通用存储桶是否启用了跨区域复制。如果存储桶未启用跨区域复制,则此控件将失败。
复制是指在相同或不同的 AWS 区域存储桶之间自动异步复制对象。复制操作会将源存储桶中新创建的对象和对象更新复制到目标存储桶。 AWS 最佳实践建议对由同一 AWS 账户拥有的源存储桶和目标存储桶进行复制。除了可用性以外,您还应该考虑其他系统强化设置。
如果复制目标存储桶未启用跨区域复制,则此控件会生成该存储桶的 `FAILED` 调查发现。如果有正当理由表明目标存储桶不需要启用跨区域复制,则可以隐藏该存储桶的调查发现。
### 修复
要在 S3 存储桶上启用跨区域复制,请参阅 *Amazon Simple Storage Service 用户指南*中的[为同一账户拥有的源存储桶和目标存储桶配置复制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-walkthrough1.html)。对于**源存储桶**,选择**应用到存储桶中的所有对象**。
## [S3.8] S3 通用存储桶应屏蔽公共访问权限
**相关要求:**独联体 AWS 基金会基准 v5.0.0/2.1.4、CIS AWS 基金会基准 v3.0.02.1.4、CIS AWS 基金会基准 v1.4.0/2.1.5、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3(7)、、(21) NIST.800-53.r5 AC-3、、(11)、(16) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(20)、(21) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、(4)、 NIST.800-53.r5 SC-7(9)、 NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**类别:**保护 > 安全访问管理 > 访问控制
**严重性:**高
**资源类型:**`AWS::S3::Bucket`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html)
**计划类型:**已触发变更
**参数:**
+ `excludedPublicBuckets`(不可自定义)- 已知允许的公共 S3 存储桶名称的逗号分隔列表
此控件可检查 Amazon S3 通用存储桶是否在存储桶级别屏蔽了公共访问权限。如果将以下任一设置设为 `false`,则此控件将失败:
+ `ignorePublicAcls`
+ `blockPublicPolicy`
+ `blockPublicAcls`
+ `restrictPublicBuckets`
S3 存储桶级别的阻止公共访问提供了控制,以确保对象永远不会具有公共访问权限。通过访问控制列表 (ACLs)、存储桶策略或两者兼而有之,向存储桶和对象授予公共访问权限。
除非您打算公开访问 S3 存储桶,否则您应该配置存储桶级别 Amazon S3 屏蔽公共访问权限功能。
### 修复
有关如何在存储桶级别删除公开访问权限的信息,请参阅 *Amazon S3 用户指南*中的[阻止公众访问 Amazon S3 存储](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html)。
## [S3.9] S3 通用存储桶应启用服务器访问日志记录
**相关要求:** NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、nist.800-171.r2 3.8、PCI DSS v4.0.1/10.2.1
**类别:**识别 > 日志记录
**严重性:**中
**资源类型:**`AWS::S3::Bucket`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html)
**计划类型:**已触发变更
**参数:**无
此控件可检查是否为 Amazon S3 通用存储桶启用了服务器访问日志记录。如果未启用服务器访问日志记录,则此控件将失败。启用日志记录后,Amazon S3 将源存储桶的访问日志传送到选定的目标存储桶。目标存储桶必须与源存储桶位于同一 AWS 区域 存储桶中,并且不得配置默认保留期。目标日志存储桶不需要启用服务器访问日志记录,您应该隐藏该存储桶的调查发现。
服务器访问日志记录提供对存储桶发出的请求的详细记录。服务器访问日志可以帮助进行安全和访问审核。有关更多信息,请参阅 [Amazon S3 的安全最佳实践:启用 Amazon S3 服务器访问日志记录](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html)。
### 修复
要启用 Amazon S3 服务器访问日志,请参阅 *Amazon S3 用户指南*中的[启用 Amazon S3 服务器访问日志](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。
## [S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置
**相关要求:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、nist.800-53.r5 SI-13 (5)
**类别:**识别 > 日志记录
**严重性:**中
**资源类型:**`AWS::S3::Bucket`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html)
**计划类型:**已触发变更
**参数:**无
此控件可检查 Amazon S3 通用版本存储桶是否具有生命周期配置。如果存储桶不具有生命周期配置,则此控件将失败。
我们建议为 S3 存储桶配置生命周期规则,以帮助您定义希望 Amazon S3 在对象生命周期内执行的操作。
### 修复
有关在 Amazon S3 存储桶上配置生命周期的更多信息,请参阅[在存储桶上设置生命周期配置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)[和管理存储生命周期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)。
## [S3.11] S3 通用存储桶应启用事件通知
**相关要求:** NIST.800-53.r5 CA-7,nist.800-53.r5 SI-3 (8)、nist.800-53.r5 SI-4、nist.800-53.r5 SI-4 (4)、nist.800-171.r2 3.8
**类别:**识别 > 日志记录
**严重性:**中
**资源类型:**`AWS::S3::Bucket`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html)
**计划类型:**已触发变更
**参数:**
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
| --- | --- | --- | --- | --- |
| `eventTypes` | 首选 S3 事件类型列表 | EnumList (最多 28 个项目) | `s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent` | 无默认值 |
此控件可检查 Amazon S3 通用存储桶上是否启用了 S3 事件通知。如果未在存储桶上启用 S3 事件通知,则此控件将失败。如果您为 `eventTypes` 参数提供自定义值,则仅当在为指定类型的事件启用事件通知时,此控件才会通过。
启用 S3 事件通知后,当发生影响 S3 存储桶的特定事件时,您会收到警报。例如,您可以收到有关对象创建、对象移除和对象恢复的通知。这些通知可以提醒相关团队注意可能导致未经授权的数据访问的意外或故意修改。
### 修复
有关检测 S3 存储桶和对象变更的信息,请参阅 *Amazon S3 用户指南*中的 [Amazon S3 事件通知](https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html)。
## ACLs 不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限
**相关要求:** NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-6
**类别:**保护 > 安全访问管理 > 访问控制
**严重性:**中
**资源类型:**`AWS::S3::Bucket`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html)
**计划类型:**已触发变更
**参数:**无
此控件可检查 Amazon S3 通用存储桶是否通过访问控制列表(ACL)为用户提供权限。如果将 ACL 配置为管理存储桶上的用户访问权限,则此控件将失败。
ACLs 是早于 IAM 的传统访问控制机制。相反 ACLs,我们建议使用 S3 存储桶策略或 AWS Identity and Access Management (IAM) 策略来管理对您的 S3 存储桶的访问权限。
### 修复
要传递此控制权,您应该对 ACLs S3 存储桶禁用。有关说明,请参阅[《*Amazon 简单存储服务用户指南》中的控制对象所有权和禁用 ACLs 存储*桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html)。
要创建 S3 存储桶策略,请参阅[使用 Amazon S3 控制台添加存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。要在 S3 存储桶上创建 IAM 用户策略,请参阅[使用用户策略控制对存储桶的访问权限](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html#walkthrough-grant-user1-permissions)。
## [S3.13] S3 通用存储桶应具有生命周期配置
**相关要求:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、nist.800-53.r5 SI-13 (5)
**类别:**保护 > 数据保护
**严重性:**低
**资源类型:**`AWS::S3::Bucket`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html)
**计划类型:**已触发变更
**参数:**
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
| --- | --- | --- | --- | --- |
| `targetTransitionDays` | 对象创建后转换到指定存储类的天数。 | 整数 | `1` 到 `36500` | 无默认值 |
| `targetExpirationDays` | 对象创建后到被删除为止的天数。 | 整数 | `1` 到 `36500` | 无默认值 |
| `targetTransitionStorageClass` | 目标 S3 存储类类型 | 枚举 | `STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE` | 无默认值 |
此控件可检查 Amazon S3 通用存储桶是否具有生命周期配置。如果存储桶不具有生命周期配置,则此控件将失败。如果您为前面的一个或多个参数提供自定义值,则仅当策略包含指定的存储类、删除时间或转换时间时,控制才会通过。
为 S3 存储桶创建生命周期配置可定义您希望 Amazon S3 在对象的生命周期内执行的操作。例如,您可以创建一个生命定期策略,该策略将对象转换为另一个存储类别,存档对象,或在指定时间段后将其删除。
### 修复
有关在 Amazon S3 存储桶上配置生命周期策略的信息,请参阅[在存储桶上设置生命周期配置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html),并参阅 *Amazon S3 用户指南*中的[管理存储生命周期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)。
## [S3.14] S3 通用存储桶应启用版本控制
**类别:**保护 > 数据保护 > 数据删除保护
**相关要求:** NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、nist.800-53.r5 SI-12、nist.800-53.r5 SI-13 (5)、nist.800-171.r2 3.8 3.8
**严重性:**低
**资源类型:**`AWS::S3::Bucket`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html)
**计划类型:**已触发变更
**参数:**无
此控件可检查 Amazon S3 通用存储桶是否启用了版本控制。如果暂停了存储桶的版本控制,则此控件将失败。
版本控制将对象的多个变体保留在同一个 S3 存储桶中。您可以使用版本控制来保留、检索和恢复 S3 存储桶中存储的对象的早期版本。版本控制可帮助您从意外的用户操作和应用程序故障中恢复。
**提示**
随着版本控制导致存储桶中的对象数量增加,您可以设置生命周期策略以根据规则自动归档或删除版本化对象。有关更多信息,请参阅[受版本控制的对象的 Amazon S3 生命周期管理](https://aws.amazon.com/blogs/aws/amazon-s3-lifecycle-management-update/)。
### 修复
要在 S3 存储桶上使用版本控制,请参阅 *Amazon S3 用户指南*中的在[存储桶上启用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html)。
## [S3.15] S3 通用存储桶应启用对象锁定
**类别:**保护 > 数据保护 > 数据删除保护
**相关要求:**NIST.800-53.r5 CP-6(2)、PCI DSS v4.0.1/10.5.1
**严重性:**中
**资源类型:**`AWS::S3::Bucket`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html)
**计划类型:**已触发变更
**参数:**
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
| --- | --- | --- | --- | --- |
| `mode` | S3 对象锁定保留模式 | 枚举 | `GOVERNANCE`, `COMPLIANCE` | 无默认值 |
此控件可检查 Amazon S3 通用存储桶是否启用了对象锁定。如果没有为存储桶启用对象锁定,则此控件将失败。如果您为 `mode` 参数提供自定义值,则仅当 S3 对象锁定使用指定的保留模式时,控制才会通过。
您可以使用 S3 对象锁定通过 write-once-read-many (WORM) 模型存储对象。对象锁定可以帮助防止 S3 存储桶中的对象在固定时间内或无限期地被删除或覆盖。您可以使用 S3 对象锁定满足需要 WORM 存储的法规要求,或添加一个额外的保护层来防止对象被更改和删除。
### 修复
要为新的和现有 S3 存储桶配置对象锁定,请参阅《Amazon S3 用户指南》**中的[配置 S3 对象锁定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html)。
## [S3.17] S3 通用存储桶应使用静态加密 AWS KMS keys
**类别:**保护 > 数据保护 > 加密 data-at-rest
**相关要求:** NIST.800-53.r5 SC-12 (2)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、(10)、(1)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)、 NIST.800-53.r5 CA-9 nist.800-53.r5 AU-9、nist.800-171.r2 3.8.9、nist.800-171.r2 3.13.16、PCI DSS v4.0.1/3.5.1
**严重性:**中
**资源类型:**`AWS::S3::Bucket`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)
**计划类型:**已触发变更
**参数:**无
此控件会检查 Amazon S3 通用存储桶是否使用 AWS KMS key (SSE-KMS 或 DSSE-KMS)进行加密。如果使用默认加密(SSE-S3)对存储桶进行加密,则此控件将失败。
服务器端加密(SSE)是接收数据的应用程序或服务在数据目的地对其进行加密。密是指由接收数据的应用程序或服务在目标位置对数据进行加密。除非您另行指定,否则 S3 存储桶默认使用 Amazon S3 托管密钥(SSE-S3)进行服务器端加密。但是,为了增加控制力,您可以选择将存储桶配置为改用服务器端加密 AWS KMS keys (SSE-KMS 或 DSSE-KMS)。当您的数据写入数据中心的磁盘时,Amazon S3 会在对象级别对其进行加密,并在您访问 AWS 数据时为您解密。
### 修复
*要使用 SSE-KMS 加密 S3 存储桶,请参阅 Amazon S3 用户指南中的[使用 AWS KMS (SSE-KMS) 指定服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html)。**要使用 DSSE-KMS 加密 S3 存储桶,请参阅 Amazon S3 用户指南[中的使用 AWS KMS keys (DSSE-KMS) 指定双层服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-dsse-encryption.html)。*
## [S3.19] S3 接入点已启用屏蔽公共访问权限设置
**相关要求:** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4、、、(11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、(4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、 NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4
**类别:**保护 > 安全访问管理 > 资源不公开访问
**严重性:**严重
**资源类型:**`AWS::S3::AccessPoint`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html)
**计划类型:**已触发变更
**参数:**无
该控件检查 Amazon S3 接入点是否启用了屏蔽公共访问权限设置。如果没有为接入点启用屏蔽公共访问权限设置,则控制失败。
Amazon S3 屏蔽公共访问权限功能可帮助您在 3 个级别上管理对 S3 资源的访问权限:账户、存储桶和接入点级别。可以独立配置每个级别的设置,从而允许您对数据设置不同级别的公共访问权限限制。接入点设置不能单独覆盖更高级别的、限制性更高的设置(账户级别或分配给接入点的存储桶)。相反,接入点级别的设置是附加的,这意味着它们作为其他级别的设置的补充,并与之配合使用。除非您打算让 S3 接入点可供公共访问,否则应启用屏蔽公共访问权限设置。
### 修复
Amazon S3 当前不支持在创建接入点之后更改接入点的屏蔽公共访问权限设置。默认情况下,在创建新的接入点时,将启用所有屏蔽公共访问权限设置。除非您有特定的需求要禁用任何一个设置,建议您将所有设置保持为启用状态。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》**中的[管理接入点的公共访问权限](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-bpa-settings.html)。
## [S3.20] S3 通用存储桶应启用 MFA 删除
**相关要求:**独联体 AWS 基金会基准 v5.0.0/2.1.2、CIS 基金会基准 v3.0.0/2.1.2、CIS AWS 基金会基准 v1.4.0/2.1.3、(1)、(2) AWS NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
**类别:**保护 > 数据保护 > 数据删除保护
**严重性:**低
**资源类型:**`AWS::S3::Bucket`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 Amazon S3 通用存储桶是否启用了多重身份验证(MFA)删除。如果存储桶未启用 MFA 删除,则控件将失败。对于具有生命周期配置的存储桶,该控件不会生成任何调查发现。
如果为 S3 通用存储桶启用版本控制,则可以选择为存储桶配置 MFA 删除,从而添加另一层安全保护。如果这样做,存储桶所有者必须在删除存储桶中对象的版本或更改存储桶的版本控制状态的任何请求中包含两种形式的身份验证。例如,如果存储桶所有者的安全凭证遭到泄露,MFA 删除可提供额外安全性。MFA 删除要求启动删除操作的用户证明其实际拥有具有 MFA 代码的 MFA 设备,并为删除操作增加额外的摩擦和安全性,这样也有助于防止存储桶被意外删除。
**注意**
仅当 S3 通用存储桶启用 MFA 删除时,此控件才会生成 `PASSED` 调查发现。要为某存储桶启用 MFA 删除,还必须为该存储桶启用版本控制。存储桶版本控制是在相同的存储桶中存储 S3 对象的多个变体的方法。此外,只有以根用户身份登录的存储桶拥有者才能启用 MFA 删除并对存储桶执行删除操作。不能对具有生命周期配置的存储桶使用 MFA 删除。
### 修复
有关启用版本控制和为 S3 存储桶配置 MFA 删除的信息,请参阅《Amazon Simple Storage Service 用户指南》**中的[配置 MFA 删除](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html)。
## [S3.22] S3 通用存储桶应记录对象级写入事件
**相关要求:**独联体 AWS 基金会基准 v5.0.0/3.8、CIS 基金会基准 v3.0.0/3.8、PCI DSS AWS v4.0.1/10.2.1
**类别:**识别 > 日志记录
**严重性:**中
**资源类型:**`AWS::::Account`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html)
**计划类型:**定期
**参数:**无
此控件检查是否至少 AWS 账户 有一个 AWS CloudTrail 多区域跟踪,用于记录 Amazon S3 存储桶的所有写入数据事件。如果账户没有用于记录 S3 存储桶写入数据事件的多区域跟踪,则此控件将失败。
S3 对象级操作(例如 `GetObject`、`DeleteObject` 和 `PutObject`)称为数据事件。默认情况下, CloudTrail 不记录数据事件,但您可以配置跟踪以记录 S3 存储桶的数据事件。当您为写入数据事件启用对象级日志记录时,您可以记录 S3 存储桶内每个单独的对象(文件)访问。启用对象级日志记录可以帮助您满足数据合规性要求,执行全面的安全分析,监控您的特定用户行为模式 AWS 账户,并使用 Amazon Events 对 S3 存储桶中的对象级 API 活动采取措施。 CloudWatch 如果您配置了多区域跟踪,用于记录所有 S3 存储桶的只写或所有类型的数据事件,则此控件会生成 `PASSED` 调查发现。
### 修复
要为 S3 存储桶启用对象级日志记录,请参阅《Amaz [on *简单*存储服务用户指南》中的 “为 S3 存储桶和对象启用 CloudTrail 事件记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)”。
## [S3.23] S3 通用存储桶应记录对象级读取事件
**相关要求:**独联体 AWS 基金会基准 v5.0.0/3.9、CIS 基金会基准 v3.0.0/3.9、PCI DSS AWS v4.0.1/10.2.1
**类别:**识别 > 日志记录
**严重性:**中
**资源类型:**`AWS::::Account`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html)
**计划类型:**定期
**参数:**无
此控件检查是否至少 AWS 账户 有一个 AWS CloudTrail 多区域跟踪,用于记录 Amazon S3 存储桶的所有读取数据事件。如果账户没有用于记录 S3 存储桶读取数据事件的多区域跟踪,则此控件将失败。
S3 对象级操作(例如 `GetObject`、`DeleteObject` 和 `PutObject`)称为数据事件。默认情况下, CloudTrail 不记录数据事件,但您可以配置跟踪以记录 S3 存储桶的数据事件。当您为读取数据事件启用对象级日志记录时,您可以记录 S3 存储桶内每个单独的对象(文件)访问。启用对象级日志记录可以帮助您满足数据合规性要求,执行全面的安全分析,监控您的特定用户行为模式 AWS 账户,并使用 Amazon Events 对 S3 存储桶中的对象级 API 活动采取措施。 CloudWatch 如果您配置了多区域跟踪,用于记录所有 S3 存储桶的只读或所有类型的数据事件,则此控件会生成 `PASSED` 调查发现。
### 修复
要为 S3 存储桶启用对象级日志记录,请参阅《Amaz [on *简单*存储服务用户指南》中的 “为 S3 存储桶和对象启用 CloudTrail 事件记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)”。
## [S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置
**相关要求:**PCI DSS v4.0.1/1.4.4
**类别:**保护 > 安全网络配置 > 不公开访问的资源
**严重性:**高
**资源类型:**`AWS::S3::MultiRegionAccessPoint`
**AWS Config 规则:**`s3-mrap-public-access-blocked`(自定义 Security Hub CSPM 规则)
**计划类型:**已触发变更
**参数:**无
此控件可检查 Amazon S3 多区域接入点是否启用了屏蔽公共访问权限设置。当多区域接入点未启用屏蔽公共访问权限设置时,此控件将失败。
可公开访问的资源可能会导致未经授权的访问、数据泄露或漏洞利用。通过身份验证和授权措施来限制访问有助于保护敏感信息并维护资源的完整性。
### 修复
默认情况下,为 S3 多区域接入点启用所有屏蔽公共访问权限设置。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》**中的[用 Amazon S3 多区域接入点屏蔽公共访问权限](https://docs.aws.amazon.com/AmazonS3/latest/userguide/multi-region-access-point-block-public-access.html)。在创建多区域接入点之后,您无法更改其屏蔽公共访问权限设置。
## [S3.25] S3 目录存储桶应具有生命周期配置
**类别:** 保护 > 数据保护
**严重性:**低
**资源类型:**`AWS::S3Express::DirectoryBucket`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html)
**计划类型:**已触发变更
**参数:**
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
| --- | --- | --- | --- | --- |
| `targetExpirationDays` | 创建对象后对象应过期的天数。 | 整数 | `1` 到 `2147483647` | 无默认值 |
此控件检查是否为 S3 目录存储桶配置了生命周期规则。如果未为目录存储桶配置生命周期规则,或者存储桶的生命周期规则指定的过期设置与您可选指定的参数值不匹配,则该控件会失败。
在 Amazon S3 中,生命周期配置是一组规则,其定义 Amazon S3 对存储桶中的一组对象执行的操作。对于 S3 目录存储桶,您可以创建一个生命周期规则,根据期限(以天为单位)指定对象何时过期。您还可以创建一个删除未完成分段上传的生命周期规则。与其他类型的 S3 存储桶(例如通用存储桶)不同,目录存储桶对生命周期规则不支持其他类型的操作(例如在存储类别之间转换对象)。
### 修复
要为 S3 目录存储桶定义生命周期配置,请为该存储桶创建一个生命周期规则。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》**中的[为目录存储桶创建和管理生命周期配置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-bucket-create-lc.html)。