Amazon S3 的安全最佳實務

S3 物件擁有權是一項 Amazon S3 儲存貯體層級設定，您可以用來控制上傳至儲存貯體之物件的擁有權，以及停用或啟用 ACL。根據預設，物件擁有權設定為「儲存貯體擁有者強制執行」設定，而且所有 ACL 都會停用。停用 ACL 時，儲存貯體擁有者會擁有儲存貯體中的所有物件，並使用存取管理政策專門管理對資料的存取。

Amazon S3 中的大多數現代使用案例不再需要使用存取控制清單 (ACL)。建議您停用 ACL，除非在異常情況下必須個別控制每個物件的存取。若要停用 ACL 並取得儲存貯體中每個物件的擁有權，請針對 S3 物件擁有權套用儲存貯體擁有者強制執行設定。停用 ACL 時，您可以輕鬆地維護具有由不同 AWS 帳戶 上傳之物件的儲存貯體。

停用 ACL 時，您資料的存取控制是以政策為基礎，如下所示：

停用 ACL 可簡化許可管理和稽核。新的儲存貯體預設會停用 ACL。您也可以停用現有儲存貯體的 ACL。如果您具有的現有儲存貯體中已有物件，則在您停用 ACL 之後，物件和儲存貯體 ACL 不再是存取評估程序的一部分。相反地，會根據原則授予或拒絕存取權。

在您可以停用 ACL 之前，請務必執行下列動作：

停用 ACL 之後，會發生下列行為：

如需詳細資訊，請參閱控制物件的擁有權並停用儲存貯體的 ACL。

除非您有明確要求網際網路上的任何人都能讀取或寫入您的 S3 儲存貯體，否則請確保您的 S3 儲存貯體不是公用儲存貯體。以下是您可以採取以封鎖公開存取的一些步驟：

如需詳細資訊，請參閱Amazon S3 的身分和存取管理。

當您授予許可時，需決定哪些使用者會取得哪些 Amazon S3 資源的許可。您還需針對這些資源啟用允許執行的動作，因此，建議您只授予執行任務所需的許可。對降低錯誤或惡意意圖所引起的安全風險和影響而言，實作最低權限存取是相當重要的一環。

下列工具可用來實作最低權限存取：

如需選擇上述一或多個機制時應考量事項的指導方針，請參閱 Amazon S3 的身分和存取管理。

為了讓 Amazon EC2 或其他 AWS 服務上的應用程式存取 Amazon S3 資源，它們必須在其 AWS API 請求中包含有效的 AWS 憑證。建議您不要將 AWS 憑證直接存放在應用程式或 Amazon EC2 執行個體中。這些是不會自動輪換的長期憑證，如果遭到盜用，可能會對業務造成嚴重的影響。

反之，請使用 IAM 角色，為需要存取 Amazon S3 的應用程式和服務管理臨時憑證。使用角色時，您不必將長期憑證 (如使用者名稱和密碼或存取金鑰) 分發給 Amazon EC2 執行個體或 AWS 服務，例如 AWS Lambda。該角色提供應用程式在呼叫其他 AWS 資源時可以使用的臨時許可。

如需詳細資訊，請參閱《IAM 使用者指南》中的以下主題：

下列選項皆可讓您保護 Amazon S3 中的靜態資料：

您可以使用 HTTPS (TLS) 來防止潛在攻擊者使用中間人攻擊或類似的攻擊手法來竊聽或操控網路流量。建議在您的 Amazon S3 儲存貯體政策中使用 aws:SecureTransport，僅允許透過 HTTPS (TLS) 進行加密連線。

此外，考慮藉由使用 s3-bucket-ssl-requests-only 受管 AWS Config 規則實作不間斷的偵測性控制。

搭配 S3 物件鎖定，您可以使用「單寫多讀」(WORM) 模型來存放物件。S3 物件鎖定功能有助於避免資料不慎遭刪除或遭到不當刪除的現象。舉例來說，您可以使用 S3 物件鎖定來協助保護 AWS CloudTrail 日誌。

如需詳細資訊，請參閱使用物件鎖定來鎖定物件。

S3 版本控制是在相同儲存貯體中保留多個物件版本的方式。您可以使用版本控制功能來保留、擷取和恢復在 儲存貯體中所存放每個物件的各個版本。透過版本控制，您就可以輕鬆地復原失誤的使用者動作和故障的應用程式。

此外，考慮藉由使用 s3-bucket-versioning-enabled 受管 AWS Config 規則實作不間斷的偵測性控制。

如需詳細資訊，請參閱使用 S3 版本控制保留多個版本的物件。

雖然 Amazon S3 預設會跨多個地理位置不同的可用區域存放資料，但合規要求可能會需要您在更遠的距離下存放資料。搭配 S3 跨區域複寫 (CRR)，您可以在相距遙遠的 AWS 區域 區域間複寫資料，協助滿足這些需求。CRR 可支援以非同步方式將物件自動複製到不同 AWS 區域 區域中的儲存貯體。如需詳細資訊，請參閱複寫區域內和跨區域的物件。

此外，考慮藉由使用 s3-bucket-replication-enabled 受管 AWS Config 規則實作不間斷的偵測性控制。

適用於 Amazon S3 的 Virtual Private Cloud (VPC) 端點是 VPC 中的邏輯實體，僅允許連線到 Amazon S3。VPC 端點可協助防止流量周遊開放的網際網路。

適用於 Amazon S3 的 VPC 端點提供多種方式來控制對 Amazon S3 資料的存取：

如需詳細資訊，請參閱使用儲存貯體政策控制來自 VPC 端點的存取。

數種受管 AWS 安全服務可協助您識別、評估和監控 Amazon S3 資料的安全與合規風險。這些服務也可以協助您保護資料免於這些風險。這些服務包括自動偵測、監控和保護功能，這些功能旨在從單一 AWS 帳戶的 Amazon S3 資源擴展到跨數千個帳戶之組織的資源。

如需詳細資訊，請參閱使用受管 AWS 安全服務監控資料安全性。

識別 IT 資產是控管和保障安全的重要環節。您必須掌握所有 Amazon S3 資源，才能存取其安全狀態並對潛在弱點採取行動。若要稽核您的資源，建議您執行下列動作：

監控是維持 Amazon S3 和 AWS 解決方案可靠性、安全性、可用性與效能的重要環節。AWS 會提供數種工具和服務，協助您監控 Amazon S3 和其他 AWS 服務。例如，您可以監控 Amazon S3 的 Amazon CloudWatch 指標，特別是 PutRequests、GetRequests、4xxErrors 和 DeleteRequests 指標。如需更多詳細資訊，請參閱 使用 Amazon CloudWatch 監控指標 及 在 Amazon S3 中記錄和監控。

如需第二個範例，請參閱範例：Amazon S3 儲存貯體活動。本範例描述如何建立 Amazon CloudWatch 警示，而系統會在進行 Amazon S3 API 呼叫，以 PUT 或 DELETE 儲存貯體政策、儲存貯體生命週期或儲存貯體複寫，或是 PUT 儲存貯體 ACL 時觸發該警示。

伺服器存取記錄會根據向儲存貯體發出的請求來提供詳細記錄。伺服器存取日誌可幫助您進行安全與存取稽核，讓您了解自己的客戶群並掌握 Amazon S3 帳單。如需啟用伺服器存取日誌的操作說明，請參閱 使用伺服器存取記錄記錄要求。

此外，考慮藉由使用 s3-bucket-logging-enabled AWS Config 受管規則實作不間斷的偵測性控制。

AWS CloudTrail 提供由使用者、角色或 Amazon S3 中 AWS 服務所採取之動作的記錄。您可以使用 CloudTrail 收集的資訊來判斷下列項目：

舉例來說，您可以識別 CloudTrail 項目，找出影響資料存取的 PUT 動作，特別是 PutBucketAcl、PutObjectAcl、PutBucketPolicy 和 PutBucketWebsite。

在您設定 AWS 帳戶 時，根據預設會啟用 CloudTrail。您可以在 CloudTrail 主控台中檢視最近的事件。若要為 Amazon S3 儲存貯體建立持續的活動和事件記錄，您可以在 CloudTrail 主控台中建立線索。如需詳細資訊，請參閱《AWS CloudTrail 使用者指南》中的記錄資料事件。

建立線索時，您可以設定 CloudTrail 以記錄資料事件。資料事件是在資源上或在資源內執行的資源操作記錄。在 Amazon S3 中，資料事件會記錄個別儲存貯體的物件層級 API 活動。CloudTrail 支援 Amazon S3 物件層級 API 操作的子集，例如 GetObject、DeleteObject 和 PutObject。如需有關 CloudTrail 如何與 Amazon S3 搭配使用的詳細資訊，請參閱 使用 AWS CloudTrail 日誌記錄 Amazon S3 API 呼叫。在 Amazon S3 主控台中，您也可以將 S3 儲存貯體設為 為 S3 儲存貯體和物件啟用 CloudTrail 事件記錄。

AWS Config 提供受管規則 (cloudtrail-s3-dataevents-enabled)，您可以使用此規則來確認至少有一個 CloudTrail 追蹤正在記錄 S3 儲存貯體的資料事件。如需詳細資訊，請參閱《AWS Config 開發人員指南》中的 cloudtrail-s3-dataevents-enabled。

本主題中列出的多個最佳實務會建議您建立 AWS Config 規則。AWS Config 可協助您評估、稽核和評價 AWS 資源的組態。AWS Config 會監控資源組態，以便您可以針對所需的安全組態評估記錄的組態。透過 AWS Config，您可以執行下列操作：

使用 AWS Config 可協助您簡化合規稽核、安全分析、變更管理，以及操作疑難排解。如需詳細資訊，請參閱《AWS Config 開發人員指南》中的使用主控台設定 AWS Config。當您指定要記錄的資源類型時，請確定其中包含 Amazon S3 資源。

如需如何使用 AWS Config 的範例，請參閱 AWS 安全部落格上的如何使用 AWS Config 監控和回應允許公開存取的 Amazon S3 儲存貯體。

S3 Storage Lens 是一種雲端儲存體分析功能，您可以用來了解整個組織使用物件儲存體的情況及其活動情形。S3 Storage Lens 也會分析指標，以提供內容相關建議，您可以用來最佳化儲存成本，並套用最佳實務保護您的資料。

透過 S3 Storage Len，您可以使用指標產生摘要洞見，例如了解您在整個組織中擁有多少儲存體，或是成長速度最快的儲存貯體和字首有哪些。您也可以使用 S3 Storage Lens 指標，識別成本最佳化機會、實作資料保護和存取管理最佳實務，以及改善應用程式工作負載的效能。

例如，您可以識別沒有 S3 生命週期規則的儲存貯體，這些規則可中止超過 7 天未完成的分段上傳。您也可以識別未遵循資料保護最佳實務的儲存貯體，例如使用 S3 複寫或 S3 版本控制。如需詳細資訊，請參閱瞭解 Amazon S3 Storage Lens。

建議您定期檢查針對 AWS 帳戶 張貼在 Trusted Advisor 中的安全建議。尤其，尋找具有「開放式存取許可」之 Amazon S3 儲存貯體的相關警告。您可以使用 describe-trusted-advisor-checks，以程式設計方式執行此動作。

此外，主動監控已註冊至您的每個 AWS 帳戶的主要電子郵件地址。若有可能會影響您的緊急安全問題，AWS 即會透過此電子郵件地址與您聯絡。

AWS Health Dashboard - 服務運作狀態上會張貼影響廣泛的 AWS 操作問題。也會透過 AWS Health Dashboard 將操作問題張貼至個別帳戶。如需詳細資訊，請參閱 AWS Health 文件。

Amazon GuardDuty 是一種威脅偵測服務，其會持續監控您的 AWS 帳戶 和工作負載是否存在惡意活動，並提供詳細的安全調查結果以取得可見性並進行修補。

使用 GuardDuty 中的 S3 保護功能，您可以設定 GuardDuty 來分析 Amazon S3 資源的 AWS CloudTrail 管理和資料事件。然後，GuardDuty 會監控這些事件是否存在惡意和可疑活動。為了通知分析並識別潛在的安全風險，GuardDuty 使用威脅情報摘要和機器學習。

GuardDuty 可以針對您的 Amazon S3 資源監控不同類型的活動。例如，Amazon S3 的 CloudTrail 管理事件包括儲存貯體層級操作，例如 ListBuckets、DeleteBucket 和 PutBucketReplication。Amazon S3 的 CloudTrail 資料事件包括物件層級操作，例如 GetObject、ListObjects 和 PutObject。如果 GuardDuty 偵測到異常或潛在惡意活動，它會產生調查結果以通知您。

如需詳細資訊，請參閱《Amazon GuardDuty 使用者指南》中的 Amazon GuardDuty 中的 Amazon S3 保護。

Amazon Detective 可簡化調查程序，並協助您進行更快、更有效的安全調查。Detective 提供預先建置的資料彙總、摘要和內容，可協助您分析並評估潛在安全問題的本質和範圍。

Detective 會自動擷取時間型事件，例如從 AWS CloudTrail 進行的 API 呼叫，以及 AWS 資源的 Amazon VPC 流程日誌。它還會擷取 Amazon GuardDuty 產生的調查結果。Detective 接著會使用機器學習、統計分析和圖論來產生視覺化，協助您更快地進行有效的安全調查。

這些視覺效果提供了資源行為的統一互動式檢視，以及它們之間一段時間後的互動。您可以探索此行為圖表，以檢查潛在的惡意動作，例如失敗的登入嘗試或可疑的 API 呼叫。您也可以查看這些動作如何影響資源，例如 S3 儲存貯體和物件。

如需詳細資訊，請參閱 Amazon Detective 管理指南。

AWS Identity and Access Management Access Analyzer IAM Access Analyzer 可協助您識別與外部實體共用的資源。您也可以使用 IAM Access Analyzer，針對政策文法和最佳實務來驗證 IAM 政策，並根據 AWS CloudTrail 日誌中的存取活動產生 IAM 政策。

IAM Access Analyzer 會使用邏輯推理來分析 AWS 環境中的資源政策，例如儲存貯體政策。使用 IAM Access Analyzer for S3，當 S3 儲存貯體設定為允許網際網路上的任何人或其他 AWS 帳戶 (包括組織外的帳戶) 存取時，系統會警示您。例如，IAM Access Analyzer for S3 可以報告儲存貯體具有透過儲存貯體存取控制清單 (ACL)、儲存貯體政策、多區域存取點政策或存取點政策提供的讀取或寫入存取權。針對每個公開或共用儲存貯體，您會收到調查結果，指出公開或共用存取的來源和層級。使用這些調查結果，您可以採取立即且精確的更正動作，將儲存貯體存取還原成您想要的內容。

如需詳細資訊，請參閱使用 IAM Access Analyzer for S3 檢閱儲存貯體存取權。

Amazon Macie 是一種安全服務，透過使用機器學習和模式比對來探索敏感資料。Macie 提供資料安全風險的可見性，並啟用自動防護來防範這些風險。使用 Macie，您可以自動探索和報告 Amazon S3 資料資產中的敏感資料，以更加了解貴組織存放在 S3 中的資料。

若要使用 Macie 偵測敏感資料，您可以使用內建準則和技術，其旨在偵測許多國家和地區的龐大和不斷增長的敏感資料類型。這些敏感資料類型包括多種類型的個人身分識別資訊 (PII)、財務資料和憑證資料。您也可以使用您定義的自訂準則，即定義要比對之文字模式的規則表達式，以及可選擇的字元序列和精簡結果的鄰近規則。

如果 Macie 在 S3 物件中偵測到敏感資料，Macie 會產生安全調查結果以通知您。此調查結果提供受影響物件的相關資訊、Macie 所找到敏感資料的類型和出現次數，以及協助您調查受影響 S3 儲存貯體和物件的其他詳細資訊。如需詳細資訊，請參閱 Amazon Macie 使用者指南。

AWS Security Hub 是一種安全狀態管理服務，其會執行安全最佳實務檢查、將來自多個來源的警示和調查結果彙總為單一格式，並啟用自動修補。

安全中樞會從整合式 AWS Partner Network 安全解決方案和 AWS 服務 (包括 Amazon Detective、Amazon GuardDuty、IAM Access Analyzer 和 Amazon Macie.) 收集並提供安全調查結果。它也會透過根據 AWS 最佳實務和支援的業界標準執行持續性的自動安全檢查，來產生其自已的調查結果。

安全中樞接著會將提供者的調查結果相互關聯和合併，協助您優先處理最重要的調查結果。它也提供自訂動作的支援，您可以使用這些動作，來叫用特定調查結果類別的回應或修補動作。

使用安全中樞，您可以評估 Amazon S3 資源的安全和合規狀態，並且可以這樣做，作為更廣泛分析組織在個別 AWS 區域中和跨多個區域的安全狀態。這包括分析安全趨勢，以及識別優先順序最高的安全問題。您也可以彙總來自多個 AWS 區域 的調查結果，以及監控並處理來自單一區域的彙總調查結果資料。

如需詳細資訊，請參閱《AWS Security Hub 使用者指南》中的 Amazon Simple Storage Service 控制。