本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

Amazon 簡單存儲服務控制

這些控制項與 Amazon S3 資源有關。

這些控制項可能並非全部可用 AWS 區域。如需詳細資訊，請參閱 各區域控制項的可用性。

[S3.1] S3 一般用途儲存貯體應啟用區塊公開存取設定

相關要求：獨聯體 AWS 基礎基準測試版 3.0.0/2.1.4，獨聯體 AWS 基準基準 1.4.0/2.1.5，PCI DSS V3.2.1/1.2.1，PCI DSS V3.2.1/1.3.1，PCI DSS V3.2.1/1.3.2，PCI DSS -53.R5 交流 -3 (7), 交流電 -4, 交流 4, 奈特 -53.R5 交流 -4 (21), 奈特. 800-53.R5 交流 -6, 尼斯特. 800-53.R5 SC-7 (11), 尼斯卡 -53.R5 (11), -53.R5 星期六七 (21), 日本七星期七 (3), 日本七星期七 (4), 日本七星期七 (4), 早上七點七 (9) AC-21)

類別：保護 > 安全網路組態

嚴重性：中

資源類型：AWS::::Account

AWS Config 規則：s3-account-level-public-access-blocks-periodic

排程類型：定期

參數：

此控制項會檢查先前的 Amazon S3 區塊公開存取設定是否在帳戶層級為 S3 一般用途儲存貯體設定。如果將一或多個區塊公用存取設定設定設定設定設定為，則控制項會失敗false。

如果將任何設定設定為false，或未設定任何設定，則控制項會失敗。

Amazon S3 公共存取區塊的設計目的是在整個 AWS 帳戶 或個別 S3 儲存貯體層級提供控制，以確保物件永遠不會擁有公開存取權。透過存取控制清單 (ACL)、儲存貯體政策或兩者來授予對儲存貯體和物件的公開存取許可。

除非您打算公開存取 S3 儲存貯體，否則您應該設定帳戶層級 Amazon S3 區塊公開存取功能。

若要進一步了解，請參閱 Amazon 簡單儲存服務使用者指南中的使用 Amazon S3 區塊公開存取。

修補

若要為您啟用 Amazon S3 區塊公開存取 AWS 帳戶，請參閱 Amazon 簡單儲存服務使用者指南中為您的帳戶設定區塊公共存取設定。

[S3.2] S3 通用存儲桶應該阻止公共讀取訪問

相關要求：PCI DSS V3.2.1/1.2.1、投資管理系統 DSS 3.2.1/1.3.1、PCI DSS V3.2.1/1.3.2、PCI DSS V3.2.1/1.3.6、投資管理系統 DSS V3.2.1/7.2.1、Ni.800-53.R5 AC-21、交流電 -4 (21), 交流 6, 尼斯 .800-53.R5 交流 -6, 尼斯 .800-53.R5, 星期五 (20), 尼斯 .800-53.R5 (16), 尼斯 .800-53.R5 (16), 尼斯特 -53.R5 (20), 3), 早上七點七 (4), 日本七星期五 (9)

類別：保護 > 安全網路組態

嚴重性：嚴重

資源類型：AWS::S3::Bucket

AWS Config 規則：s3-bucket-public-read-prohibited

排程型態：定期與變更觸發

參數：無

此控制項可檢查 Amazon S3 一般用途儲存貯體是否允許公開讀取存取。系統會評估封鎖公開存取的設定、儲存貯體政策和儲存貯體存取控制清單 (ACL)。如果值區允許公開讀取存取，則控制項會失敗。

某些使用案例可能要求網際網路上的每個人都能夠從 S3 儲存貯體讀取。然而，這類情況很少見。為了確保資料的完整性和安全，您的 S3 儲存貯體不應允許公開讀取。

修補

若要封鎖 Amazon S3 儲存貯體上的公開讀取存取，請參閱 Amazon 簡單儲存服務使用者指南中的設定 S3 儲存貯體的區塊公共存取設定。

[S3.3] S3 通用存儲桶應該阻止公共寫入訪問

相關要求：PCI DSS V3.2.1/1.2.1、投資管理系統 DSS 3.2.1/1.3.1、PCI DSS V3.2.1/1.3.2、PCI DSS V3.2.1/1.3.4、投資管理系統 DSS V3.2.1/1.3.6、PCI DSS V3.2.1/7.2.1、交流電 -4, 交流電 -4, 交流 -4 (21), 尼斯特. 800-53.R5 交流 6, 奈特. 800-53.R5 的交流 -6, 尼斯 .800-53.R5 (十一), 尼斯 .800-53.R5 SC-7 (16), 日本七星期七 (3), 日本七星期七 (4), 尼斯 .800-53.R5 (9) AC-21

類別：保護 > 安全網路組態

嚴重性：嚴重

資源類型：AWS::S3::Bucket

AWS Config 規則：s3-bucket-public-write-prohibited

排程型態：定期與變更觸發

參數：無

此控制項會檢查 Amazon S3 一般用途儲存貯體是否允許公用寫入存取。系統會評估封鎖公開存取的設定、儲存貯體政策和儲存貯體存取控制清單 (ACL)。如果值區允許公用寫入存取權，則控制項會失敗。

某些使用案例需要網際網路上的每個人都能夠寫入您的 S3 儲存貯體。然而，這類情況很少見。為了確保資料的完整性和安全，您的 S3 儲存貯體不應允許公開寫入。

修補

若要封鎖 Amazon S3 儲存貯體上的公開寫入存取權，請參閱 Amazon 簡單儲存服務使用者指南中的設定 S3 儲存貯體的區塊公共存取設定。

[S3.5] S3 通用存儲桶應該要求使用 SSL 的請求

相關要求：獨聯體 AWS 基礎基準測試 V3.0.0/2.1.1，獨聯體 AWS 基礎基準測試版 1.4.0/2.1.2，PCI DSS V3.2.1/4.1，Nia-53.R5 AC-17（2），NIS.800-53.R5 交流 4，5 SC-23, 奈特. 800-53.R5 的, 七七 (4), 奈特. SC-12 SC-13 SC-23

類別：保護 > 安全存取管理

嚴重性：中

資源類型：AWS::S3::Bucket

AWS Config 規則：s3-bucket-ssl-requests-only

排程類型：已觸發變更

參數：無

此控制項會檢查 Amazon S3 一般用途儲存貯體是否具有需要使用 SSL 請求的政策。如果值區政策不需要使用 SSL 的要求，則控制項會失敗。

S3 儲存貯體應具有政策，要求所有請求 (Action: S3:*) 僅接受 S3 資源政策中透過 HTTPS 傳輸的資料 (以條件金鑰表示) aws:SecureTransport。

修補

若要更新 Amazon S3 儲存貯體政策以拒絕非安全傳輸，請參閱 Amazon 簡單儲存服務使用者指南中的使用 Amazon S3 主控台新增儲存貯體政策。

新增類似下列原則中的原則陳述式。以您要修改的值區名稱取DOC-EXAMPLE-BUCKET代。

{
    "Id": "ExamplePolicy",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}

如需詳細資訊，請參閱我應該使用哪些 S3 儲存貯體政策來符合 s3- AWS Config 規則bucket-ssl-requests-only？ 在AWS 官方知識中心。

[S3.6] S3 一般用途儲存貯體政策應限制對其他儲存貯體的存取 AWS 帳戶

相關需求：鎳碳酸鈣 -9 (1)、五分之五公分

類別:保護 > 安全存取管理 > 受限制的敏感 API 作業動作

嚴重性：高

資源類型：AWS::S3::Bucket

AWS Config 規則：s3-bucket-blacklisted-actions-prohibited

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon S3 一般用途儲存貯體政策是否防止其他 AWS 帳戶 主體對 S3 儲存貯體中的資源執行拒絕動作。如果值區政策允許對另一個主參與者執行一或多個先前動作，則控制項會失敗 AWS 帳戶。

實施最低權限存取對於降低安全風險以及錯誤或惡意的影響至關重要。如果 S3 儲存貯體政策允許從外部帳戶存取，可能會導致內部威脅或攻擊者洩漏資料。

此blacklistedactionpatterns參數可讓您成功評估 S3 儲存貯體的規則。對於未包含在blacklistedactionpatterns清單中的動作模式，此參數會授與外部帳戶的存取權。

修補

若要更新 Amazon S3 儲存貯體政策以移除許可，請參閱。 使用 Amazon 簡單儲存服務使用者指南中的 Amazon S3 主控台新增儲存貯體政策。

在 [編輯值區原則] 頁面的 [原則編輯] 文字方塊中，執行下列其中一個動作：

[S3.7] S3 一般用途儲存貯體應使用跨區域複寫

相關要求：PCI DSS V3.2.1/2.2、等級 5 澳大利亞管理系統 (2)、技術指令介面卡 (2)、電子信息技術指標 (800) -53.R5 CP-6 (1)、定義伺服器 -53.5 (1)、Ni.800-53.5 (2)、), 早上五點五 (2), 尼斯. 800-53.R5 SI-13 (5) CP-10 SC-36

類別：保護 > 安全存取管理

嚴重性：低

資源類型：AWS::S3::Bucket

AWS Config 規則：s3-bucket-cross-region-replication-enabled

排程類型：已觸發變更

參數：無

此控制項可檢查 Amazon S3 一般用途儲存貯體是否已啟用跨區域複寫。如果值區未啟用跨區域複寫，則控制項會失敗。

複製是在相同或不同值區之間對物件進行自動、非同步複製 AWS 區域。複寫會將新建立的物件和物件更新從來源儲存貯體複製到目的地值區或值區。 AWS 最佳作法建議您針對相同擁有的來源和目的地值區進行複寫 AWS 帳戶。除了可用性之外，建議您考慮其他系統強化設定。

修補

若要在 S3 儲存貯體上啟用跨區域複寫，請參閱 Amazon 簡單儲存服務使用者指南中針對同一帳戶擁有的來源和目的地儲存貯體設定複寫。針對「來源值區」，選擇「套用至值區中的所有物件」。

[S3.8] S3 通用存儲桶應阻止公共訪問

相關要求：獨聯體 AWS 基金會基準測試 V3.0.0/2.1.4，獨聯體 AWS 基礎基準測試版 1.4.0/2.1.5，NIST -53.R5 交流 -3（7），Nist.800-53.R5 交流 -3（7），Nist.800-53.R5 交流 4，星期七, 星期五七七 (11), 星期五七 (16), 星期六七 (16), 星期五七 (20), 星期五七 (20), 星期七七 (21), 西洋 -53.R5 (3), 尼斯卡 5 (3), 尼斯卡 5 (5), AC-21

分類:保護 > 安全存取管理 > 存取控制

嚴重性：高

資源類型：AWS::S3::Bucket

AWS Config 規則：s3-bucket-level-public-access-prohibited

排程類型：已觸發變更

參數：

此控制項可檢查 Amazon S3 一般用途儲存貯體是否在儲存貯體層級封鎖公用存取。如果將下列任何設定設定為，則控制項會失敗false：

S3 儲存貯體層級的封鎖公用存取提供控制項，以確保物件永遠不會擁有公開存取權。透過存取控制清單 (ACL)、儲存貯體政策或兩者來授予對儲存貯體和物件的公開存取許可。

除非您打算公開存取 S3 儲存貯體，否則您應該設定儲存貯體層級 Amazon S3 區塊公共存取功能。

修補

如需有關如何在儲存貯體層級移除公開存取權的資訊，請參閱 Amazon S3 使用者指南中的封鎖對 Amazon S3 儲存的公開存取。

[S3.9] S3 一般用途儲存貯體應啟用伺服器存取記錄

相關要求：交流電 -2 (4)、交流電四 (26)、奈特 .800-53.R5 交流 -6 (9)、指定交流 -6 (9)、AU-10、黑色 -53.5、三、三、三、三、三五月五日六星期六 (4), 日本七點八十七 (7), 尼斯 .800-53.R5 六 (9), 尼斯 .800-53.R5 系統 -4 (20), 尼斯. AU-12

類別：識別 > 記錄日誌

嚴重性：中

資源類型：AWS::S3::Bucket

AWS Config 規則：s3-bucket-logging-enabled

排程類型：已觸發變更

參數：無

此控制項會檢查 Amazon S3 一般用途儲存貯體是否啟用伺服器存取記錄。如果未啟用伺服器存取記錄，則控制項會失敗。啟用日誌記錄後，Amazon S3 會將來源儲存貯體的存取日誌交付到所選目標儲存貯體。目標值區必須與來源值區位於 AWS 區域 同一個值區，且不得設定預設保留期間。目標記錄值區不需要啟用伺服器存取記錄，您應該隱藏此值區的發現項目。

伺服器存取記錄可提供對值區發出要求的詳細記錄。伺服器存取記錄可協助安全性和存取稽核。如需詳細資訊，請參閱 Amazon S3 的安全最佳實務：啟用 Amazon S3 伺服器存取記錄。

修補

若要啟用 Amazon S3 伺服器存取記錄，請參閱 Amazon S3 使用者指南中的啟用 Amazon S3 伺服器存取日誌。

[S3.10] 啟用版本控制的 S3 一般用途儲存貯體應具有生命週期組態

相關要求：指定的 CP-10，指定電腦 -53.R5 CP-6 (2)，奈特。800-53.R5 CP-9，指定的是，800-53.R5 SC-5 (2)，日本電腦 -53.R5 SI-13 (5)

類別：識別 > 記錄日誌

嚴重性：中

資源類型：AWS::S3::Bucket

AWS Config 規則：s3-version-lifecycle-policy-check

排程類型：已觸發變更

參數：無

此控制項可檢查 Amazon S3 一般用途版本化儲存貯體是否具有生命週期組態。如果值區沒有生命週期設定，則控制項會失敗。

我們建議您為 S3 儲存貯體建立生命週期組態，以協助您定義 Amazon S3 在物件生命週期內採取的動作。

修補

如需在 Amazon S3 儲存貯體上設定生命週期的詳細資訊，請參閱在儲存貯體上設定生命週期組態和管理儲存生命週期。

[S3.11] S3 一般用途儲存貯體應啟用事件通知

相關要求：NIS.800-53.R5 CA-七、七、三、三三 (8)、尼斯。

類別：識別 > 記錄日誌

嚴重性：中

資源類型：AWS::S3::Bucket

AWS Config 規則：s3-event-notifications-enabled

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon S3 一般用途儲存貯體是否啟用 S3 事件通知。如果儲存貯體上未啟用 S3 事件通知，則控制項會失敗。如果您為eventTypes參數提供自訂值，則只有在針對指定類型的事件啟用事件通知時，控制項才會傳遞。

啟用 S3 事件通知時，您會在發生影響 S3 儲存貯體的特定事件時收到警示。例如，您可以收到有關物件建立、移除物件和物件還原的通知。這些通知可以提醒相關團隊意外或故意修改，這些修改可能導致未經授權的數據訪問。

修補

如需偵測 S3 儲存貯體和物件變更的相關資訊，請參閱 Amazon S3 使用者指南中的 Amazon S3 事件通知。

[S3.12] ACL 不應用於管理使用者對 S3 一般用途儲存貯體的存取

相關要求：交流 -2 (1)、交流 3 (1)、尼什八達 -53.R5 交流 -3、交流 -3 (15)、奈特．

分類:保護 > 安全存取管理 > 存取控制

嚴重性：中

資源類型：AWS::S3::Bucket

AWS Config 規則：s3-bucket-acl-prohibited

排程類型：已觸發變更

參數：無

此控制項可檢查 Amazon S3 一般用途儲存貯體是否透過存取控制清單 (ACL) 提供使用者許可。如果設定 ACL 來管理值區的使用者存取權，則控制項會失敗。

ACL 是早於 IAM 的舊版存取控制機制。我們建議您使用 S3 儲存貯體政策或 AWS Identity and Access Management (IAM) 政策來管理 S3 儲存貯體的存取權，而不是 ACL。

修補

若要傳遞此控制項，您應該停用 S3 儲存貯體的 ACL。如需指示，請參閱 Amazon 簡單儲存服務使用者指南中的控制物件擁有權和停用儲存貯體的 ACL。

若要建立 S3 儲存貯體政策，請參閱使用 Amazon S3 主控台新增儲存貯體政策。若要在 S3 儲存貯體上建立 IAM 使用者政策，請參閱使用使用者政策控制儲存貯體的存取。

[S3.13] S3 一般用途儲存貯體應具有生命週期組態

相關要求：指定的 CP-10，指定電腦 -53.R5 CP-6 (2)，奈特。800-53.R5 CP-9，指定的是，800-53.R5 SC-5 (2)，日本電腦 -53.R5 SI-13 (5)

類別:保護 > 資料保護

嚴重性：低

資源類型：AWS::S3::Bucket

AWS Config 規則：s3-lifecycle-policy-check

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon S3 一般用途儲存貯體是否具有生命週期組態。如果值區沒有生命週期設定，則控制項會失敗。如果您為上述一或多個參數提供自訂值，則只有在原則包含指定的儲存區類別、刪除時間或轉換時間時，控制項才會傳遞。

為 S3 儲存貯體建立生命週期組態，可定義您希望 Amazon S3 在物件生命週期內採取的動作。例如，您可以將物件轉移到另一個儲存類別、將它們封存或在指定的時間段後刪除它們。

修補

如需在 Amazon S3 儲存貯體上設定生命週期政策的相關資訊，請參閱在儲存貯體上設定生命週期組態，並參閱 Amazon S3 使用者指南中的管理儲存生命週期。

[S3.14] S3 一般用途儲存貯體應啟用版本控制

分類:保護 > 資料保護 > 資料刪除保護

相關要求：八月五日九星期五 (2)、日本電腦 (CP-10)、NIST-53.R5 CP-6、指定點 5 CP-6 (1)、指令碼：800-53.R5 CP-6 (2)、Nist.800-53.R5 (2)、Nist.800-53.5 5 SI-12, 奈特. 800-53.5 SI-13 (5)

嚴重性：低

資源類型：AWS::S3::Bucket

AWS Config 規則：s3-bucket-versioning-enabled

排程類型：已觸發變更

參數：無

此控制項會檢查 Amazon S3 一般用途儲存貯體是否已啟用版本控制。如果值區的版本控制項已暫停，則控制項會失敗。

版本控制可將物件的多個變體保留在同一個 S3 儲存貯體中。您可以使用版本控制來保留、擷取和還原 S3 儲存貯體中存放的物件的早期版本。版本控制可協助您從非預期的使用者動作和應用程式失敗中復原。

修補

若要在 S3 儲存貯體上使用版本控制，請參閱 Amazon S3 使用者指南中的在儲存貯體上啟用版本控制。

[S3.15] S3 一般用途儲存貯體應啟用物件鎖定

分類:保護 > 資料保護 > 資料刪除保護

相關要求：第五台 CP-6 (2)

嚴重性：中

資源類型：AWS::S3::Bucket

AWS Config 規則：s3-bucket-default-lock-enabled

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon S3 一般用途儲存貯體是否已啟用物件鎖定。如果值區未啟用物件鎖定，則控制項會失敗。如果您為mode參數提供自訂值，則只有在 S3 Object Lock 使用指定的保留模式時，控制項才會通過。

您可以使用 S3 物件鎖定使用 write-once-read-many (WORM) 模型來存放物件。物件鎖定可協助防止 S3 儲存貯體中的物件在固定時間或無限期內遭到刪除或覆寫。您可以使用 S3 物件鎖定，以滿足必須使用 WORM 儲存體的法規要求，或多加一道保護以免物件遭到變更和刪除。

修補

若要為新的和現有的 S3 儲存貯體設定物件鎖定，請參閱 Amazon S3 使用者指南中的設定 S3 物件鎖定。

[S3.17] S3 一般用途儲存貯體在靜態時應使用 AWS KMS keys

分類:保護 > 資料保護 > 加密 data-at-rest

相關要求：第五代 SC-12 (2)、電腦五點五公分 -3 (6)、鼻子 800-53.R5 SC-13、鎳 53.R5 SC-28、薄膜 -53.R5 SC-28 (1)、尼斯卡 -53.5 (1)、尼斯卡 -53.5 (1)、6), 尼斯 .800-53.5 澳大利亚

嚴重性：中

資源類型：AWS::S3::Bucket

AWS Config 規則：s3-default-encryption-kms

排程類型：已觸發變更

參數：無

此控制項會檢查 Amazon S3 一般用途儲存貯體是否使用 AWS KMS key (SSE-KMS 或 DSSE-KMS) 加密。如果儲存貯體使用預設加密 (SSE-S3) 加密，則控制項會失敗。

伺服器端加密 (SSE) 是由接收資料的應用程式或服務在其目的地加密資料。除非另有指定，否則 S3 儲存貯體預設會使用 Amazon S3 受管金鑰 (SSE-S3) 進行伺服器端加密。不過，若要增加控制權，您可以選擇將儲存貯體設定為改為使用伺服器端加密 AWS KMS keys (SSE-KMS 或 DSSE-KMS)。Amazon S3 會在物件層級將資料寫入資料中心的磁碟時加密，並在您存取 AWS 資料時為您解密。

修補

若要使用 SSE-KMS 加密 S3 儲存貯體，請參閱 Amazon S3 使用者指南中的指定伺服器端加密 AWS KMS (SSE-KMS)。若要使用 DSSE-KMS 加密 S3 儲存貯體，請參閱 Amazon S3 使用者指南中的使用 AWS KMS keys (DSSE-KMS) 指定雙層伺服器端加密。

[S3.19] S3 存取點應該已啟用封鎖公用存取設定

相關要求：指定的要求：AC-21、交流 -3、NIST -53.R5 交流 -3、交流 -3 (7)、奈特 -800-53.R5 交流 4、NIST-53.R5 交流 4 (21)、指定線 -53.R5 交流 -6、五月五日七 (16), 日本七點七 (20), 日本七點七 (20), 日本七點七 (21), 日本七點七 (3), 日本七點七 (3), 西元七七 (4), 日本

分類:保護 > 安全存取管理 > 無法公開存取的資源

嚴重性：嚴重

資源類型：AWS::S3::AccessPoint

AWS Config 規則：s3-access-point-public-access-blocks

排程類型：已觸發變更

參數：無

此控制項可檢查 Amazon S3 存取點是否已啟用區塊公用存取設定。如果存取點未啟用封鎖公用存取設定，則控制項會失敗。

Amazon S3 區塊公開存取功能可協助您在三個層級管理 S3 資源的存取：帳戶、儲存貯體和存取點層級。每個層級的設定都可以獨立設定，讓您對資料擁有不同層級的公開存取限制。存取點設定無法個別覆寫較高層級 (帳戶層級或指派給存取點的值區) 上限制較嚴格的設定。相反地，存取點層級的設定是相加的，這表示它們會在其他層級的設定進行補充，並與其他層級的設定一起運作。除非您打算公開存取 S3 存取點，否則應啟用封鎖公用存取設定。

修補

Amazon S3 目前不支援在建立存取點後變更存取點的封鎖公開存取權限設定。當您建立新的存取點時，預設會啟用所有封鎖公用存取設定。建議您啟用所有設定，除非您知道您有特別需要停用任一設定。如需詳細資訊，請參閱 Amazon 簡單儲存服務使用者指南中的管理公用存取點。

[S3.20] S3 一般用途儲存貯體應啟用 MFA 刪除功能

相關要求：獨聯體 AWS 基金會基準測試 V3.0.0/2.1.2，獨聯體 AWS 基礎基準測試版 1.4.0/2.1.3，Nist.800-53.R5 厘米 -2 厘米 -2（2），Nist.800-53.R5 厘米 -2（2），NiST

分類:保護 > 資料保護 > 資料刪除保護

嚴重性：低

資源類型：AWS::S3::Bucket

AWS Config 規則：s3-bucket-mfa-delete-enabled

排程類型：已觸發變更

參數：無

此控制項可檢查 Amazon S3 一般用途版本控制儲存貯體上是否啟用多因素身份驗證 (MFA) 刪除。如果值區未啟用 MFA 刪除，則控制項會失敗。控制項不會針對具有生命週期設定的值區產生發現項目。

在 Amazon S3 儲存貯體中使用 S3 版本控制時，您可以選擇性地設定儲存貯體以啟用 MFA 刪除，以新增另一層安全性。當您這樣做時，儲存貯體擁有者必須在任一要求中包含兩種身分驗證形式，才能刪除版本或變更儲存貯體的版本控制狀態。如果您的安全憑證遭到入侵，MFA 刪除可提供額外的安全性。MFA 刪除還可以協助防止意外刪除值區刪除，方法是要求啟動刪除動作的使用者以 MFA 代碼證明 MFA 裝置的實體擁有，並在刪除動作中增加額外的摩擦和安全性。

修補

若要在儲存貯體上啟用 S3 版本控制和設定 MFA 刪除，請參閱 Amazon 簡單儲存服務使用者指南中的設定 MFA 刪除。

[S3.22] S3 一般用途儲存貯體應記錄物件層級寫入事件

相關要求：獨聯體 AWS 基金會基準 v3.0.0/3.8

類別：識別 > 記錄日誌

嚴重性：中

資源類型：AWS::::Account

AWS Config 規則：cloudtrail-all-write-s3-data-event-check

排程類型：定期

參數：無

此控制項會檢查是否 AWS 帳戶 有至少一個 AWS CloudTrail 多區域追蹤來記錄 Amazon S3 儲存貯體的所有寫入資料事件。如果帳戶沒有記錄 S3 儲存貯體寫入資料事件的多區域追蹤，則控制項會失敗。

S3 物件層級操作 (例如GetObjectDeleteObjectPutObject、和) 稱為資料事件。依預設， CloudTrail 不會記錄資料事件，但您可以設定追蹤記錄 S3 儲存貯體的資料事件。為寫入資料事件啟用物件層級記錄時，您可以記錄 S3 儲存貯體中的每個個別物件 (檔案) 存取。啟用物件層級記錄可協助您符合資料合規要求、執行全面的安全分析、監控您的使用者行為的特定模式 AWS 帳戶，以及使用 Amazon CloudWatch Events 對 S3 儲存貯體中的物件層級 API 活動採取動作。如果您設定多區域追蹤記錄所有 S3 儲存貯體的唯寫或所有類型的資料事件，則此控制項會產生PASSED發現。

修補

若要啟用 S3 儲存貯體的物件層級日誌記錄，請參閱 Amazon 簡單儲存體服務使用者指南中的啟用 S3 儲存貯體和物件的 CloudTrail 事件記錄。

[S3.23] S3 一般用途儲存貯體應記錄物件層級讀取事件

相關要求：獨聯體 AWS 基金會基準 v3.0.0/3.9

類別：識別 > 記錄日誌

嚴重性：中

資源類型：AWS::::Account

AWS Config 規則：cloudtrail-all-read-s3-data-event-check

排程類型：定期

參數：無

此控制項會檢查是否 AWS 帳戶 具有至少一個 AWS CloudTrail 多區域追蹤來記錄 Amazon S3 儲存貯體的所有讀取資料事件。如果帳戶沒有記錄 S3 儲存貯體讀取資料事件的多區域追蹤，則控制項會失敗。

S3 物件層級操作 (例如GetObjectDeleteObjectPutObject、和) 稱為資料事件。依預設， CloudTrail 不會記錄資料事件，但您可以設定追蹤記錄 S3 儲存貯體的資料事件。為讀取資料事件啟用物件層級記錄時，您可以記錄 S3 儲存貯體中的每個個別物件 (檔案) 存取。啟用物件層級記錄可協助您符合資料合規要求、執行全面的安全分析、監控您的使用者行為的特定模式 AWS 帳戶，以及使用 Amazon CloudWatch Events 對 S3 儲存貯體中的物件層級 API 活動採取動作。如果您設定多區域追蹤記錄所有 S3 儲存貯體的唯讀或所有類型的資料事件，則此控制項會產生PASSED發現。

修補

若要啟用 S3 儲存貯體的物件層級日誌記錄，請參閱 Amazon 簡單儲存體服務使用者指南中的啟用 S3 儲存貯體和物件的 CloudTrail 事件記錄。