Administración de acceso y seguridad de Amazon S3

Para proteger sus datos en Amazon S3, de forma predeterminada, los usuarios solo tienen acceso a los recursos de S3 que ellos mismos crean. Para conceder acceso a otros usuarios, utilice una de las siguientes características de administración de acceso o una combinación de ellas: AWS Identity and Access Management (IAM) para crear usuarios y administrar su correspondiente acceso; listas de control de acceso (ACL) para conceder acceso a objetos individuales a los usuarios autorizados; políticas de bucket para configurar permisos para todos los objetos de un único bucket de S3; y, por último, la autenticación por cadena de consulta para conceder acceso a otros usuarios por tiempo limitado con direcciones URL temporales. Amazon S3 también es compatible con los registros de auditoría, que enumeran las solicitudes realizadas a los recursos de S3 para obtener visibilidad total de quién obtiene acceso a los distintos datos.

Con unos clics en la consola de administración de S3, puede aplicar el Bloqueo de acceso público de S3 a cada bucket en su cuenta, tanto en los existentes como en los que cree. De esta forma, se asegura de que no se pueda acceder públicamente a ningún objeto. Todos los buckets nuevos tienen habilitado Bloqueo de acceso público de forma predeterminada. Para restringir el acceso a todos los buckets existentes en su cuenta, puede activar el Bloqueo del acceso público a nivel de cuenta. Las configuraciones de Bloqueo de acceso público de S3 anulan los permisos de S3 que permiten el acceso público, lo que le facilita al administrador de la cuenta configurar un control centralizado para evitar variaciones en la configuración de seguridad, independientemente de cómo se agregue un objeto o se cree un bucket.

El Bloqueo de objetos de Amazon S3 evita la eliminación de objetos durante un periodo de retención definido por el cliente para que pueda aplicar políticas de retención, como un nivel adicional para proteger los datos o para cumplir con la normativa. Puede migrar las cargas de trabajo desde sistemas del tipo de escritura única y lectura múltiple (WORM) hacia Amazon S3 y configurar Bloqueo de objetos de S3 en el objeto y en el bucket para evitar la eliminación de una versión del objeto con anterioridad a la fecha que figura en Retener hasta o en Fechas de retención legal.

La propiedad del objeto de Amazon S3 desactiva las listas de control de acceso (ACL), lo que cambia la propiedad de todos los objetos al propietario del bucket y simplifica la administración del acceso para los datos almacenados en S3. Cuando define la configuración impuesta por el propietario del bucket de la propiedad del objeto de S3, las ACL ya no afectarán los permisos de su bucket y los objetos que contiene. Todo el control de acceso se definirá mediante políticas basadas en recursos, políticas de usuario o alguna combinación de estas. Las ACL se desactivan automáticamente para los buckets nuevos. Puede usar S3 Inventory para revisar el uso de las ACL en sus buckets antes de habilitar S3 Object Ownership al migrar a políticas de buckets basadas en IAM. Para más información, consulte Control de la propiedad de los objetos.

De forma predeterminada, todos los recursos de Amazon S3 (buckets, objetos y subrecursos relacionados) son privados: solo el propietario del recurso, la cuenta de AWS con la cual se creó, puede acceder a él. Amazon S3 ofrece opciones de políticas de acceso que se clasifican en términos generales como políticas basadas en recursos y políticas de usuario. Puede elegir utilizar políticas basadas en recursos, políticas de usuario o alguna combinación de estas para administrar los permisos de sus recursos de Amazon S3. De manera predeterminada, un objeto de S3 le pertenece a la cuenta que creó el objeto, lo que incluye cuando esta cuenta es diferente al propietario del bucket. Puede usar la propiedad del objeto de S3 para desactivar listas de control de acceso (ACL) y cambiar este comportamiento. Si lo hace, cada objeto en un bucket le pertenece al propietario del bucket. Para obtener más información, consulte Administración de identidades y accesos para Amazon S3.

Descubra y proteja sus datos confidenciales a escala en Amazon S3 con Amazon Macie. Macie proporciona automáticamente un inventario completo de buckets de S3 mediante el escaneo de buckets para identificar y categorizar los datos. Recibe resultados de seguridad procesables que enumeran cualquier dato que se ajuste a estos tipos de informaciones confidenciales, como la información de identificación personal (PII) (por ejemplo, nombres de clientes y números de tarjetas de crédito) y categorías definidas por las regulaciones de privacidad, como el GDPR y la HIPAA. Macie también evalúa de forma automática y continua los controles preventivos a nivel de bucket para cualquier bucket que no esté cifrado, ya sea de acceso público o que se comparta con cuentas fuera de su organización, lo que permite abordar rápidamente la configuración no deseada de los buckets.

Amazon S3 cifra automáticamente todas las cargas de objetos a todos los buckets. Para las cargas de objetos, Amazon S3 admite el cifrado del lado del servidor con cuatro opciones de administración de claves: SSE-S3 (el nivel básico de cifrado), SSE-KMS, DSSE-KMS y SSE-C, así como el cifrado del cliente. Amazon S3 ofrece características de seguridad flexibles para bloquear el acceso de usuarios no autorizados a sus datos. Utilice los puntos de conexión de VPC para conectarse a los recursos de S3 desde su instancia de Amazon Virtual Private Cloud (Amazon VPC). Utilice el Inventario de S3 para comprobar el estado de cifrado de sus objetos de S3 (consulte Administración del almacenamiento para obtener más información sobre el Inventario de S3).

Video: Resumen del cifrado de datos de Amazon S3 »

Trusted Advisor inspecciona el entorno de AWS y luego realiza recomendaciones cuando surgen oportunidades para solucionar déficits de seguridad. 

Trusted Advisor tiene las siguientes comprobaciones relacionadas con Amazon S3: configuración de registro de buckets de Amazon S3, comprobaciones de seguridad para buckets de Amazon S3 que tengan permisos de acceso abierto, y comprobaciones de tolerancia a errores para los buckets de Amazon S3 que no tengan el control de versiones habilitado o que lo tengan suspendido.

Obtenga acceso a Amazon S3 de forma directa como un punto de conexión privado dentro de la red virtual segura con AWS PrivateLink para S3. Simplifique la arquitectura de la red al conectarse a S3 desde las instalaciones o en la nube mediante direcciones IP privadas desde Virtual Private Cloud (VPC). Ya no necesita usar IP públicas, configurar las reglas de firewall ni configurar una puerta de enlace de Internet para acceder a S3 de forma local.

Elija entre cuatro algoritmos de suma de comprobación compatibles (SHA-1, SHA-256, CRC32, o CRC32C) para comprobar la integridad de los datos de las solicitudes de carga y descarga. Calcule y verifique automáticamente sumas de comprobación a medida que almacena o recupera datos de Simple Storage Service (Amazon S3) y acceda a la información de la suma de comprobación en cualquier momento usando la nueva API GetObjectAttributes de S3 o el informe de inventario de S3.

Tutorial de introducción a la comprobación de integridad de datos de S3

Presentación técnica: Get started with checksums in Amazon S3 for data integrity checking

Blog: Building scalable checksums

Blog: Enabling and validating additional checksums on existing objects in Amazon S3