本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon S3 的 Security Hub 控制項
這些 AWS Security Hub 控制項會評估 Amazon Simple Storage Service (Amazon S3) 服務和資源。
這些控制項可能無法在所有 中使用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性。
【S3.1】 S3 一般用途儲存貯體應啟用區塊公開存取設定
重要
在 2024 年 3 月 12 日,此控制項的標題變更為顯示的標題。如需詳細資訊,請參閱變更 Security Hub 控制項的日誌。
相關要求:CIS AWS 基礎基準 v3.0.0/2.1.4、CIS AWS 基礎基準 v1.4.0/2.1.5、PCIDSSv3.2.1/1.2.1、PCIDSSv3.2.1/1.3.1、PCIDSSv3.2.1/1.3.2、PCIDSSv3.2.1/1.3.4、PCIDSSv3.2.1/1.3.6、 NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3) NIST.800-53.r5 SC-7、(4)、 NIST.800-53.r5 SC-7(9)
類別:保護 > 安全網路組態
嚴重性:中
資源類型: AWS::::Account
AWS Config 規則:s3-account-level-public-access-blocks-periodic
排程類型:定期
參數:
-
ignorePublicAcls:true(不可自訂) -
blockPublicPolicy:true(不可自訂) -
blockPublicAcls:true(不可自訂) -
restrictPublicBuckets:true(不可自訂)
此控制項會檢查上述 Amazon S3 區塊公有存取設定是否在 S3 一般用途儲存貯體的帳戶層級設定。如果一個或多個區塊公有存取設定設定為 ,則控制項會失敗false。
如果任何設定設為 false,或如果任何設定未設定,則控制項會失敗。
Amazon S3 公有存取區塊旨在提供整個 AWS 帳戶 或個別 S3 儲存貯體層級的控制,以確保物件永遠無法公有存取。透過存取控制清單 (ACLs)、儲存貯體政策或兩者,將公有存取權授予儲存貯體和物件。
除非您打算公開存取 S3 儲存貯體,否則您應該設定帳戶層級的 Amazon S3 Block Public Access 功能。
若要進一步了解,請參閱Amazon Simple Storage Service 使用者指南中的使用 Amazon S3 Block Public Access。
修補
若要為 啟用 Amazon S3 Block Public Access AWS 帳戶,請參閱 Amazon Simple Storage Service 使用者指南 中的為您的帳戶設定區塊公有存取設定。
【S3.2】 S3 一般用途儲存貯體應封鎖公開讀取存取
重要
在 2024 年 3 月 12 日,此控制項的標題變更為顯示的標題。如需詳細資訊,請參閱變更 Security Hub 控制項的日誌。
相關要求:PCIDSSv3.2.1/1.2.1、PCIDSSv3.2.1/1.3.1、PCIDSSv3.2.1/1.3.2、PCIDSSv3.2.1/1.3.6、PCIDSSv3.2.1/7.2.1、 NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)
類別:保護 > 安全網路組態
嚴重性:嚴重
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-bucket-public-read-prohibited
排程類型:定期和觸發變更
參數:無
此控制項會檢查 Amazon S3 一般用途儲存貯體是否允許公開讀取存取。它評估區塊公有存取設定、儲存貯體政策和儲存貯體存取控制清單 (ACL)。如果儲存貯體允許公有讀取存取,則控制項會失敗。
某些使用案例可能需要網際網路上的每個人都能夠從您的 S3 儲存貯體讀取。然而,這類情況很少見。為了確保資料的完整性和安全,您的 S3 儲存貯體不應允許公開讀取。
修補
若要封鎖 Amazon S3 儲存貯體上的公有讀取存取權,請參閱 Amazon Simple Storage Service 使用者指南 中的設定 S3 儲存貯體的區塊公有存取設定。
【S3.3】 S3 一般用途儲存貯體應封鎖公有寫入存取
重要
在 2024 年 3 月 12 日,此控制項的標題變更為顯示的標題。如需詳細資訊,請參閱變更 Security Hub 控制項的日誌。
相關要求:PCIDSSv3.2.1/1.2.1、PCIDSSv3.2.1/1.3.1、PCIDSSv3.2.1/1.3.2、PCIDSSv3.2.1/1.3.4、PCIDSSv3.2.1/1.3.6、PCIDSSv3.2.1/7.2.1、 NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)
類別:保護 > 安全網路組態
嚴重性:嚴重
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-bucket-public-write-prohibited
排程類型:定期和觸發變更
參數:無
此控制項會檢查 Amazon S3 一般用途儲存貯體是否允許公有寫入存取。它評估區塊公有存取設定、儲存貯體政策和儲存貯體存取控制清單 (ACL)。如果儲存貯體允許公有寫入存取,則控制項會失敗。
某些使用案例需要網際網路上的每個人都能夠寫入您的 S3 儲存貯體。然而,這類情況很少見。為了確保資料的完整性和安全,您的 S3 儲存貯體不應允許公開寫入。
修補
若要封鎖 Amazon S3 儲存貯體上的公有寫入存取權,請參閱 Amazon Simple Storage Service 使用者指南 中的設定 S3 儲存貯體的區塊公有存取設定。
【S3.5】 S3 一般用途儲存貯體應要求使用 SSL
重要
在 2024 年 3 月 12 日,此控制項的標題變更為顯示的標題。如需詳細資訊,請參閱變更 Security Hub 控制項的日誌。
相關要求:CIS AWS 基礎基準 v3.0.0/2.1.1、CIS AWS 基礎基準 v1.4.0/2.1.2、PCIDSSv3.2.1/4.1, NIST.800-53.r5 AC-17(2)、 NIST.800-53.r5 IA-5(1) NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-12(3)、 NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23 NIST.800-53.r5 SC-2(3)、 NIST.800-53.r5 SC-7(4) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(1)、 NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)
類別:保護 > 安全存取管理
嚴重性:中
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-bucket-ssl-requests-only
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon S3 一般用途儲存貯體是否有需要請求才能使用 的政策SSL。如果儲存貯體政策不需要使用 的請求,則控制項會失敗SSL。
S3 儲存貯體的政策應要求所有請求 (Action: S3:*) 只接受 S3 資源政策HTTPS中的資料傳輸,以條件索引鍵 表示aws:SecureTransport。
修補
若要更新 Amazon S3 儲存貯體政策以拒絕不安全的傳輸,請參閱 Amazon Simple Storage Service 使用者指南 中的使用 Amazon S3 主控台新增儲存貯體政策。
新增類似於下列政策的政策陳述式。amzn-s3-demo-bucket 將 取代為您修改的儲存貯體名稱。
{ "Id": "ExamplePolicy", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSSLRequestsOnly", "Action": "s3:*", "Effect": "Deny", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } }, "Principal": "*" } ] }
如需詳細資訊,請參閱 AWS Official Knowledge Center 中的我應該使用什麼 S3 儲存貯體政策來遵守 AWS Config 規則 s3-bucket-ssl-requests-only?
【S3.6】 S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶
重要
在 2024 年 3 月 12 日,此控制項的標題變更為顯示的標題。如需詳細資訊,請參閱變更 Security Hub 控制項的日誌。
相關要求: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
類別:保護 > 安全存取管理 > 敏感API操作動作受限
嚴重性:高
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-bucket-blacklisted-actions-prohibited
排程類型:已觸發變更
參數:
-
blacklistedactionpatterns:s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl(不可自訂)
此控制項會檢查 Amazon S3 一般用途儲存貯體政策是否阻止其他 AWS 帳戶 主體對 S3 儲存貯體中的資源執行拒絕的動作。如果儲存貯體政策允許其他 中主體的一個或多個上述動作,則控制項會失敗 AWS 帳戶。
實作最低權限存取對於降低安全風險以及錯誤或惡意意圖的影響至關重要。如果 S3 儲存貯體政策允許從外部帳戶存取,可能會導致內部人員威脅或攻擊者的資料外傳。
blacklistedactionpatterns 參數允許成功評估 S3 儲存貯體的規則。參數會針對清單中未包含的動作模式授予外部帳戶的存取權blacklistedactionpatterns。
修補
若要更新 Amazon S3 儲存貯體政策以移除許可,請參閱 Amazon Simple Storage Service 使用者指南 中的使用 Amazon S3 主控台新增儲存貯體政策。
在編輯儲存貯體政策頁面上的政策編輯文字方塊中,採取下列其中一個動作:
-
移除授予其他拒絕動作 AWS 帳戶 存取權的陳述式。
-
從陳述式中移除允許的拒絕動作。
【S3.7】 S3 一般用途儲存貯體應使用跨區域複寫
重要
在 2024 年 3 月 12 日,此控制項的標題變更為顯示的標題。如需詳細資訊,請參閱變更 Security Hub 控制項的日誌。
相關要求:PCIDSSv3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-36(2), NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
類別:保護 > 安全存取管理
嚴重性:低
資源類型: AWS::S3::Bucket
AWS Config 規則: s3-bucket-cross-region-replication-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon S3 一般用途儲存貯體是否已啟用跨區域複寫。如果儲存貯體未啟用跨區域複寫,則控制項會失敗。
複寫是自動、非同步地在相同或不同的 中跨儲存貯體複製物件 AWS 區域。複寫會將新建立的物件和物件更新從來源儲存貯體複製到目的地儲存貯體或儲存貯體。 AWS 最佳實務建議對相同 擁有的來源儲存貯體和目的地儲存貯體進行複寫 AWS 帳戶。除了可用性之外,建議您考慮其他系統強化設定。
如果複寫目的地儲存貯體未啟用跨區域複寫,則此控制項會產生其FAILED調查結果。如果目的地儲存貯體不需要啟用跨區域複寫的正當原因,您可以隱藏此儲存貯體的調查結果。
修補
若要在 S3 儲存貯體上啟用跨區域複寫,請參閱 Amazon Simple Storage Service 使用者指南 中的為相同帳戶擁有的來源和目的地儲存貯體設定複寫。對於來源儲存貯體 ,選擇套用至儲存貯體 中的所有物件。
【S3.8】 S3 一般用途儲存貯體應封鎖公開存取
相關要求:CIS AWS 基礎基準 v3.0.0/2.1.4、CIS AWS 基礎基準 v1.4.0/2.1.5、 NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)
類別:保護 > 安全存取管理 > 存取控制
嚴重性:高
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-bucket-level-public-access-prohibited
排程類型:已觸發變更
參數:
-
excludedPublicBuckets(不可自訂) – 以逗號分隔的已知允許公有 S3 儲存貯體名稱清單
此控制項會檢查 Amazon S3 一般用途儲存貯體是否封鎖儲存貯體層級的公開存取。如果下列任一設定設定為 ,則控制項會失敗false:
-
ignorePublicAcls -
blockPublicPolicy -
blockPublicAcls -
restrictPublicBuckets
S3 儲存貯體層級的封鎖公開存取提供控制項,以確保物件永遠無法公開存取。透過存取控制清單 (ACLs)、儲存貯體政策或兩者,將公有存取權授予儲存貯體和物件。
除非您打算公開存取 S3 儲存貯體,否則您應該設定儲存貯體層級的 Amazon S3 Block Public Access 功能。
修補
如需如何在儲存貯體層級移除公有存取權的資訊,請參閱 Amazon S3 使用者指南 中的封鎖對 Amazon S3 儲存體的公有存取權。 Amazon S3
【S3.9】 S3 一般用途儲存貯體應啟用伺服器存取記錄
重要
在 2024 年 3 月 12 日,此控制項的標題變更為顯示的標題。如需詳細資訊,請參閱變更 Security Hub 控制項的日誌。
相關要求: NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-bucket-logging-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查是否針對 Amazon S3 一般用途儲存貯體啟用伺服器存取記錄。如果未啟用伺服器存取記錄,則控制項會失敗。啟用日誌記錄時,Amazon S3 會將來源儲存貯體的存取日誌傳遞至選取的目標儲存貯體。目標儲存貯體必須與來源儲存貯體位於相同 AWS 區域 位置,且不得設定預設保留期。目標記錄儲存貯體不需要啟用伺服器存取記錄,而且您應該隱藏此儲存貯體的調查結果。
伺服器存取日誌提供對儲存貯體提出請求的詳細記錄。伺服器存取日誌可協助安全和存取稽核。如需詳細資訊,請參閱 Amazon S3 的安全最佳實務:啟用 Amazon S3 伺服器存取日誌。
修補
若要啟用 Amazon S3 伺服器存取日誌,請參閱 Amazon S3 使用者指南 中的啟用 Amazon S3 伺服器存取日誌。 Amazon S3
【S3.10】 已啟用版本控制的 S3 一般用途儲存貯體應該具有生命週期組態
重要
在 2024 年 3 月 12 日,此控制項的標題變更為顯示的標題。Security Hub 在 2024 年 4 月從 AWS 基礎安全最佳實務 1.0.0 版標準中淘汰了此控制項,但它仍包含在 NIST SP 800-53 修訂版 5 標準中。如需詳細資訊,請參閱變更 Security Hub 控制項的日誌。
相關要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-version-lifecycle-policy-check
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon S3 一般用途版本化儲存貯體是否具有生命週期組態。如果儲存貯體沒有生命週期組態,則控制項會失敗。
建議您為 S3 儲存貯體建立生命週期組態,以協助您定義您希望 Amazon S3 在物件的生命週期期間採取的動作。
修補
如需在 Amazon S3 儲存貯體上設定生命週期的詳細資訊,請參閱在儲存貯體上設定生命週期組態和管理您的儲存生命週期。
【S3.11】 S3 一般用途儲存貯體應啟用事件通知
重要
在 2024 年 3 月 12 日,此控制項的標題變更為顯示的標題。Security Hub 在 2024 年 4 月從 AWS 基礎安全最佳實務 1.0.0 版標準中淘汰了此控制項,但它仍包含在 NIST SP 800-53 修訂版 5 標準中:。如需詳細資訊,請參閱變更 Security Hub 控制項的日誌。
相關要求: NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(4)
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-event-notifications-enabled
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
偏好的 S3 事件類型清單 |
EnumList (最多 28 個項目) |
|
無預設值 |
此控制項會檢查是否在 Amazon S3 一般用途儲存貯體上啟用 S3 事件通知。 Amazon S3 如果儲存貯體上未啟用 S3 事件通知,則控制項會失敗。如果您為 eventTypes 參數提供自訂值,只有在為指定類型的事件啟用事件通知時,控制項才會通過。
當您啟用 S3 事件通知時,您會在發生影響 S3 儲存貯體的特定事件時收到提醒。例如,您可以收到物件建立、物件移除和物件還原的通知。這些通知可以提醒相關團隊,可能導致未經授權的資料存取的意外或故意修改。
修補
如需有關偵測 S3 儲存貯體和物件變更的資訊,請參閱 Amazon S3 使用者指南 中的 Amazon S3 事件通知。 Amazon S3
【S3.12】 ACLs 不應用於管理使用者對 S3 一般用途儲存貯體的存取
重要
在 2024 年 3 月 12 日,此控制項的標題變更為顯示的標題。如需詳細資訊,請參閱變更 Security Hub 控制項的日誌。
相關要求: NIST.800-53.r5 AC-2(1) NIST.800-53.r5 AC-3、、 NIST.800-53.r5 AC-3(15)、 NIST.800-53.r5 AC-3(7)、 NIST.800-53.r5 AC-6
類別:保護 > 安全存取管理 > 存取控制
嚴重性:中
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-bucket-acl-prohibited
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon S3 一般用途儲存貯體是否提供具有存取控制清單 () 的使用者許可ACL。如果 ACL設定為管理儲存貯體上的使用者存取權,則控制項會失敗。
ACLs 是早於 的舊版存取控制機制IAM。ACLs我們建議您使用 S3 儲存貯體政策或 AWS Identity and Access Management (IAM) 政策來管理對 S3 儲存貯體的存取。
修補
若要傳遞此控制項,您應該ACLs針對 S3 儲存貯體停用 。如需指示,請參閱 Amazon Simple Storage Service 使用者指南 中的控制物件的擁有權和ACLs停用儲存貯體。
若要建立 S3 儲存貯體政策,請參閱使用 Amazon S3 主控台 新增儲存貯體政策。若要在 S3 儲存貯體上建立IAM使用者政策,請參閱使用使用者政策 控制儲存貯體的存取。
【S3.13】 S3 一般用途儲存貯體應具有生命週期組態
重要
在 2024 年 3 月 12 日,此控制項的標題變更為顯示的標題。如需詳細資訊,請參閱變更 Security Hub 控制項的日誌。
相關要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
類別:保護 > 資料保護
嚴重性:低
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-lifecycle-policy-check
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
當物件轉換為指定的儲存類別時,物件建立後的天數 |
Integer |
|
無預設值 |
|
|
刪除物件時,物件建立後的天數 |
Integer |
|
無預設值 |
|
|
目的地 S3 儲存體類別類型 |
列舉 |
|
無預設值 |
此控制項會檢查 Amazon S3 一般用途儲存貯體是否具有生命週期組態。如果儲存貯體沒有生命週期組態,則控制項會失敗。如果您為上述一或多個參數提供自訂值,則只有在政策包含指定的儲存類別、刪除時間或轉換時間時,控制項才會傳遞。
為 S3 儲存貯體建立生命週期組態,定義您希望 Amazon S3 在物件的生命週期中採取的動作。例如,您可以將物件轉換至另一個儲存體類別、封存物件,或在指定的一段時間後將其刪除。
修補
如需在 Amazon S3 儲存貯體上設定生命週期政策的相關資訊,請參閱在儲存貯體上設定生命週期組態,並請參閱 Amazon S3 使用者指南 中的管理您的儲存生命週期。
【S3.14】 S3 一般用途儲存貯體應該已啟用版本控制
重要
在 2024 年 3 月 12 日,此控制項的標題變更為顯示的標題。如需詳細資訊,請參閱變更 Security Hub 控制項的日誌。
類別:保護 > 資料保護 > 資料刪除保護
相關要求: NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)
嚴重性:低
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-bucket-versioning-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon S3 一般用途儲存貯體是否已啟用版本控制。如果儲存貯體的版本控制已暫停,則控制項會失敗。
版本控制會將物件的多個變體保留在相同的 S3 儲存貯體中。您可以使用版本控制來保留、擷取和還原 S3 儲存貯體中存放的舊版物件。版本控制可協助您從非預期的使用者動作和應用程式失敗中復原。
提示
隨著儲存貯體中的物件數量因為版本控制而增加,您可以設定生命週期組態,根據規則自動封存或刪除版本化物件。如需詳細資訊,請參閱 Amazon S3 Lifecycle Management for Versioned Objects
修補
若要在 S3 儲存貯體上使用版本控制,請參閱 Amazon S3 使用者指南 中的在儲存貯體上啟用版本控制。
【S3.15】 S3 一般用途儲存貯體應該已啟用物件鎖定
重要
在 2024 年 3 月 12 日,此控制項的標題變更為顯示的標題。如需詳細資訊,請參閱變更 Security Hub 控制項的日誌。
類別:保護 > 資料保護 > 資料刪除保護
相關要求:NIST.800-53.r5 CP-6(2)
嚴重性:中
資源類型: AWS::S3::Bucket
AWS Config 規則: s3-bucket-default-lock-enabled
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
S3 物件鎖定保留模式 |
列舉 |
|
無預設值 |
此控制項會檢查 Amazon S3 一般用途儲存貯體是否已啟用物件鎖定。如果未針對儲存貯體啟用物件鎖定,則控制項會失敗。如果您為 mode 參數提供自訂值,只有在 S3 物件鎖定使用指定的保留模式時,控制項才會通過。
您可以使用 S3 物件鎖定來使用 (WORM) write-once-read-many模型存放物件。物件鎖定有助於防止 S3 儲存貯體中的物件在固定時間或無限期內遭到刪除或覆寫。您可以使用 S3 物件鎖定來滿足需要WORM儲存的法規要求,或新增額外的保護層來防止物件變更和刪除。
修補
若要為新的和現有的 S3 儲存貯體設定物件鎖定,請參閱 Amazon S3 使用者指南 中的設定 S3 物件鎖定。 Amazon S3
【S3.17】 S3 一般用途儲存貯體應靜態加密 AWS KMS keys
重要
在 2024 年 3 月 12 日,此控制項的標題變更為顯示的標題。如需詳細資訊,請參閱變更 Security Hub 控制項的日誌。
類別:保護 > 資料保護 > 加密 data-at-rest
相關要求: NIST.800-53.r5 SC-12(2)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-28、 NIST.800-53.r5 SC-28(1)、 NIST.800-53.r5 SC-7(10)、 NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 SI-7(6)、NIST.800-53.r5 AU-9
嚴重性:中
資源類型: AWS::S3::Bucket
AWS Config 規則: s3-default-encryption-kms
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon S3 一般用途儲存貯體是否使用 AWS KMS key (SSE-KMS 或 DSSE-) 加密KMS。如果使用預設加密 (SSE-S3) 加密儲存貯體,則控制項會失敗。
伺服器端加密 (SSE) 是接收資料的應用程式或服務在其目的地對資料進行加密。除非另有指定,否則 S3 儲存貯體預設會使用 Amazon S3 受管金鑰 (SSE-S3) 進行伺服器端加密。不過,若要新增控制項,您可以選擇設定儲存貯體,改為使用 AWS KMS keys (SSE-KMS 或 DSSE-KMS) 的伺服器端加密。Amazon S3 會在物件層級加密您的資料,因為它會寫入 AWS 資料中心的磁碟,並在您存取時將其解密。
修補
若要使用 SSE- 加密 S3 儲存貯體KMS,請參閱 Amazon S3 使用者指南 中的使用 AWS KMS (SSE-KMS) 指定伺服器端加密。若要使用 DSSE- 加密 S3 儲存貯體KMS,請參閱 Amazon S3 使用者指南 中的使用 AWS KMS keys (DSSE-KMS) 指定雙層伺服器端加密。
【S3.19】 S3 存取點應啟用封鎖公有存取設定
相關需求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、、 NIST.800-53.r5 SC-7、(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)
類別:保護 > 安全存取管理 > 資源不可公開存取
嚴重性:嚴重
資源類型: AWS::S3::AccessPoint
AWS Config 規則: s3-access-point-public-access-blocks
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon S3 存取點是否已啟用封鎖公有存取設定。如果未針對存取點啟用封鎖公有存取設定,則控制項會失敗。
Amazon S3 Block Public Access 功能可協助您在三個層級管理對 S3 資源的存取:帳戶、儲存貯體和存取點層級。每個層級的設定可以獨立設定,讓您對資料有不同層級的公有存取限制。存取點設定無法個別覆寫較高層級的更嚴格設定 (指派給存取點的帳戶層級或儲存貯體)。相反地,存取點層級的設定是累加的,這意味著它們與其他層級的設定互補和搭配運作。除非您打算讓 S3 存取點公開存取,否則您應該啟用封鎖公開存取設定。
修補
Amazon S3 目前不支援在建立存取點後變更存取點的封鎖公開存取權限設定。建立新存取點時,預設會啟用所有封鎖公有存取設定。建議您啟用所有設定,除非您知道您有特別需要停用任一設定。如需詳細資訊,請參閱 Amazon Simple Storage Service 使用者指南 中的管理存取點的公有存取權。
【S3.20】 S3 一般用途儲存貯體應該已啟用MFA刪除
相關要求:CIS AWS 基礎基準 3.0.0/2.1.2 版、CIS AWS 基礎基準 1.4.0/2.1.3 版、 NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)
類別:保護 > 資料保護 > 資料刪除保護
嚴重性:低
資源類型: AWS::S3::Bucket
AWS Config 規則: s3-bucket-mfa-delete-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查是否已在 Amazon S3 一般用途版本化儲存貯體上啟用多重要素驗證 (MFA) 刪除。如果在儲存貯體上未啟用MFA刪除,則控制項會失敗。控制項不會針對具有生命週期組態的儲存貯體產生調查結果。
在 Amazon S3 儲存貯體中使用 S3 版本控制時,您可以選擇透過設定儲存貯體來啟用MFA刪除來新增另一層安全層。 Amazon S3 當您這樣做時,儲存貯體擁有者必須在任一要求中包含兩種身分驗證形式,才能刪除版本或變更儲存貯體的版本控制狀態。MFA 刪除會在您的安全登入資料遭到入侵時提供額外的安全性。MFA delete 也有助於防止意外刪除儲存貯體,方法是要求啟動刪除動作的使用者使用MFA程式碼來證明MFA裝置的實體擁有,並為刪除動作新增額外的摩擦層和安全性。
注意
MFA 刪除功能需要儲存貯體版本控制作為相依性。儲存貯體版本控制是一種將 S3 物件的多種變化保留在相同儲存貯體中的方法。此外,只有以根使用者身分登入的儲存貯體擁有者可以啟用MFA刪除,並在 S3 儲存貯體上執行刪除動作。
修補
若要在儲存貯體上啟用 S3 版本控制和設定MFA刪除,請參閱 Amazon Simple Storage Service 使用者指南 中的設定MFA刪除。
【S3.22】 S3 一般用途儲存貯體應記錄物件層級寫入事件
相關要求:CIS AWS 基礎基準 3.0.0/3.8 版
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::::Account
AWS Config 規則: cloudtrail-all-write-s3-data-event-check
排程類型:定期
參數:無
此控制項會檢查 是否 AWS 帳戶 具有至少一個 AWS CloudTrail 多區域追蹤,該追蹤會記錄 Amazon S3 儲存貯體的所有寫入資料事件。如果帳戶沒有記錄 S3 儲存貯體寫入資料事件的多區域追蹤,則控制項會失敗。
S3 物件層級操作,例如 GetObject、 DeleteObject和 PutObject,稱為資料事件。根據預設, CloudTrail 不會記錄資料事件,但您可以設定追蹤來記錄 S3 儲存貯體的資料事件。當您為寫入資料事件啟用物件層級記錄時,您可以記錄 S3 儲存貯體中的每個個別物件 (檔案) 存取。啟用物件層級記錄可協助您符合資料合規要求、執行全面的安全分析、監控 中使用者行為的特定模式 AWS 帳戶,以及使用 Amazon CloudWatch Events 對 S3 儲存貯體內的物件層級API活動採取動作。如果您設定多區域線索,該線索會為所有 S3 儲存貯體記錄僅寫入或所有類型的資料事件,則此控制項會產生PASSED調查結果。
修補
若要啟用 S3 儲存貯體的物件層級記錄,請參閱 Amazon Simple Storage Service 使用者指南 中的啟用 S3 儲存貯體和物件 CloudTrail 的事件記錄。
【S3.23】 S3 一般用途儲存貯體應記錄物件層級讀取事件
相關要求:CIS AWS 基礎基準 3.0.0/3.9 版
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::::Account
AWS Config 規則: cloudtrail-all-read-s3-data-event-check
排程類型:定期
參數:無
此控制項會檢查 是否 AWS 帳戶 具有至少一個 AWS CloudTrail 多區域追蹤,該追蹤會記錄 Amazon S3 儲存貯體的所有讀取資料事件。如果帳戶沒有記錄 S3 儲存貯體讀取資料事件的多區域追蹤,則控制項會失敗。
S3 物件層級操作,例如 GetObject、 DeleteObject和 PutObject,稱為資料事件。根據預設, CloudTrail 不會記錄資料事件,但您可以設定追蹤來記錄 S3 儲存貯體的資料事件。當您為讀取資料事件啟用物件層級記錄時,您可以記錄 S3 儲存貯體中的每個個別物件 (檔案) 存取。啟用物件層級記錄可協助您符合資料合規要求、執行全面的安全分析、監控 中使用者行為的特定模式 AWS 帳戶,以及使用 Amazon CloudWatch Events 對 S3 儲存貯體內的物件層級API活動採取動作。如果您設定多區域線索記錄所有 S3 儲存貯體的唯讀或所有類型的資料事件,則此控制項會產生PASSED調查結果。
修補
若要啟用 S3 儲存貯體的物件層級記錄,請參閱 Amazon Simple Storage Service 使用者指南 中的啟用 S3 儲存貯體和物件 CloudTrail 的事件記錄。
【S3.24】 S3 多區域存取點應啟用封鎖公有存取設定
類別:保護 > 安全網路組態 > 資源不可公開存取
嚴重性:高
資源類型: AWS::S3::MultiRegionAccessPoint
AWS Config rule: s3-mrap-public-access-blocked (自訂 Security Hub 規則)
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon S3 多區域存取點是否已啟用封鎖公有存取設定。當多區域存取點未啟用封鎖公有存取設定時,控制項會失敗。
可公開存取的資源可能會導致未經授權的存取、資料外洩或漏洞的利用。透過身分驗證和授權措施限制存取有助於保護敏感資訊並維護資源的完整性。
修補
根據預設,會針對 S3 多區域存取點啟用所有封鎖公開存取設定。如需詳細資訊,請參閱Amazon Simple Storage Service 使用者指南中的使用 Amazon S3 多區域存取點封鎖公有存取。 在建立多區域存取點的封鎖公開存取設定後,您便無法再變更設定。
