Gestion de la sécurité et des accès dans Amazon S3

Par défaut, afin de protéger les données stockées sur Amazon S3, les utilisateurs disposent uniquement d'un accès aux ressources S3 qu'ils créent. Vous pouvez accorder un accès à d’autres utilisateurs en utilisant l’une des combinaisons des fonctions de gestion des accès suivantes : AWS Identity and Access Management (IAM) pour créer des utilisateurs et gérer leurs accès respectifs ; Listes de contrôle d’accès (ACL) pour rendre des objets individuels accessibles aux utilisateurs autorisés ; des politiques de compartiment pour configurer les permissions de tous les objets dans un seul compartiment S3 ; et l’Authentification par chaîne d’interrogation pour conférer un accès en une seule fois aux autres par l’entremise d’URL temporaires. Amazon S3 prend également en charge les journaux d’audit qui répertorient les requêtes faites sur vos ressources S3, pour une visibilité totale de ceux qui accèdent aux données.

En quelques clics dans la console de gestion S3, vous pouvez appliquer S3 Block Public Access à chaque compartiment de votre compte, qu’ils soient existants ou créés à l’avenir, et vous assurer qu’aucun objet n’est accessible au public. L'option Block Public Access est activée par défaut pour tous les nouveaux compartiments. Pour restreindre l'accès à tous les compartiments existants de votre compte, vous pouvez activer l'option Bloquer l'accès public au niveau du compte. Les paramètres de S3 Block Public Access remplacent les autorisations S3 permettant un accès public. Ainsi, l'administrateur de compte peut facilement configurer un contrôle centralisé afin d'empêcher les variations de configuration de la sécurité pour tous les objets et compartiments, quelle que soit la manière dont un objet est ajouté ou un compartiment créé.

Amazon S3 verrouillage d’objet bloque la suppression de la version de l’objet pendant une période de rétention définie par le client afin que vous puissiez appliquer des stratégies de rétention en tant que couche supplémentaire de protection des données ou à des fins de conformité réglementaire. Vous pouvez migrer des charges de travail depuis des systèmes à inscription unique et lecture multiple (WORM) existants vers Amazon S3, et configurer le verrouillage d’objet S3 aux niveaux de l'objet et du compartiment pour empêcher les suppressions de version d'objet avant les dates de fin de conservation ou de détention légale.

Amazon S3 Object Ownership désactive les listes de contrôle d'accès (ACL), confiant la propriété de tous les objets au propriétaire du compartiment et simplifiant la gestion de l'accès aux données stockées dans S3. Lorsque vous configurez le paramètre du propriétaire du compartiment S3 Object Ownership, les ACL n’affecteront plus les autorisations pour votre compartiment et les objets qu’il contient. Tout contrôle d'accès sera défini à l'aide de politiques basées sur les ressources, de politiques utilisateur ou d'une combinaison des deux. Les ACL sont automatiquement désactivées pour les nouveaux compartiments. Vous pouvez utiliser S3 Inventory pour vérifier l'utilisation des ACL dans vos compartiments avant d'activer S3 Object Ownership lors de la migration vers des politiques de compartiments basées sur IAM. Pour plus d’informations, consultez Contrôle du propriétaire des objets.

Toutes les ressources Amazon S3 (les compartiments, les objets et les sous-ressources associées) sont privées par défaut. Seul le propriétaire de ressource, un compte AWS l'ayant créée, peuvent accéder à la ressource. Amazon S3 offre deux grandes familles d'options de stratégie d'accès : les politiques basées sur les ressources et celles basées sur les utilisateurs. Vous pouvez choisir l'une ou l'autre ou bien une combinaison des deux pour gérer les autorisations d'accès à vos ressources Amazon S3. Par défaut, un objet S3 appartient au compte qui a créé l'objet, y compris lorsque ce compte est différent du propriétaire du compartiment. Vous pouvez utiliser la propriété des objets S3 pour désactiver les listes de contrôle d'accès et modifier ce comportement. Si vous le faites, chaque objet d’un compartiment appartient au propriétaire de ce compartiment. Pour plus d’informations, consultez la section Gestion des identités et des accès dans Amazon S3.

Identifiez et protégez vos données sensibles à l’échelle dans Amazon S3 avec Amazon Macie. Macie vous fournit automatiquement un inventaire complet de vos compartiments S3 en analysant les compartiments pour identifier et classer les données. Vous recevez les résultats de sécurité exploitables énumérant les données correspondant aux types de données sensibles, dont les données d'identification personnelle (PII) (par exemple les noms des clients et les numéros de carte de crédit), et les catégories définies par des réglementations relatives à la confidentialité, telles que le RGPD ou la loi HIPAA. Macie évalue aussi automatiquement et en continu les contrôles préventifs au niveau du compartiment pour les compartiments non chiffrés, accessibles publiquement ou partagés avec des comptes extérieurs à votre organisation. Ainsi, vous pouvez ajuster rapidement les paramètres non autorisés de vos compartiments.

Amazon S3 chiffrera automatiquement tous les chargements d'objets dans tous les compartiments. Pour les chargements d'objets, Amazon S3 prend en charge le chiffrement côté serveur avec quatre options de gestion clés : DSSE-KMS, SSE-KMS, SSE-C et SSE-S3 (le niveau de base du chiffrement), ainsi que le chiffrement côté client. Amazon S3 propose des fonctions de sécurité flexibles pour bloquer l'accès à vos données aux utilisateurs non autorisés. Utilisez des points de terminaison VPC pour vous connecter aux ressources S3 à partir de Amazon Virtual Private Cloud (Amazon VPC). Utilisez l’inventaire S3 pour vérifier l’état de chiffrement de vos objets S3 (voir Gestion du stockage pour plus d’informations sur l’inventaire S3).

Vidéo : Amazon S3 data encryption overview »

Trusted Advisor EXAMINE votre environnement AWS et émet des recommandations dès lors qu'il existe une possibilité de remédier à certaines failles de sécurité. 

Trusted Advisor propose les vérifications relatives à Amazon S3 suivantes : la configuration de la journalisation des compartiments Amazon S3, les vérifications de la sécurité pour les compartiments Amazon S3 ayant des autorisations d'accès libre et les vérifications de la tolérance aux pannes pour les compartiments Amazon S3 dont la gestion des versions est suspendue ou non activée.

Accédez directement à Amazon S3 en tant que point de terminaison privé au sein de votre réseau virtuel sécurisé avec AWS PrivateLink for S3. Simplifiez votre architecture réseau en vous connectant à S3 depuis votre environnement sur site ou dans le cloud à l’aide d’adresses IP privées à partir de votre Virtual Private Cloud (VPC). Plus besoin d'utiliser des IP publiques et de configurer des règles de pare-feu ou une passerelle Internet pour accéder à S3 depuis un environnement sur site.

Choisissez parmi quatre algorithmes de total de contrôle (SHA-1, SHA-256, CRC32, ou CRC32C) pour vérifier l'intégrité des données lors de vos demandes de chargement et de téléchargement. Calculez et vérifiez automatiquement les totaux de contrôle lorsque vous stockez ou récupérez des données à partir d'Amazon S3, et accédez aux informations sur le total de contrôle à tout moment à l'aide de l'API S3 GetObjectAttributes ou d'un rapport d'inventaire S3.

Tutoriel de démarrage du contrôle de l'intégrité des données S3

Conférence technique : Get started with checksums in Amazon S3 for data integrity checking

Blog : Building scalable checksums

Blog : Enabling and validating additional checksums on existing objects in Amazon S3