Управление безопасностью и доступом на Amazon S3

Для защиты данных в Amazon S3 по умолчанию пользователям предоставляется доступ только к созданным ими ресурсам S3. Доступ другим пользователям можно предоставить с помощью одной или нескольких из следующих возможностей управления доступом: управление идентификацией и доступом AWS (AWS IAM) для создания пользователей и управления правами доступа; списки контроля доступа (ACL) для предоставления доступа к отдельным объектам авторизованным пользователям; политики корзины для настройки разрешений для всех объектов в одной корзине S3; аутентификация строки запроса для предоставления временного доступа другим пользователям с помощью краткосрочных URL-адресов. Amazon S3 также поддерживает журналы аудита, которые сохраняют запросы к ресурсам S3 для контроля действий пользователей и данных, которые они запрашивают.

Всего несколькими щелчками в консоли управления S3 можно применить функцию блокирования публичного доступа к S3 к любым корзинам в аккаунте – как к существующим, так и тем, которые будут созданы в будущем, и больше не беспокоиться о том, что к каким‑то из этих объектов возможен публичный доступ. Во всех новых корзинах по умолчанию включена функция блокировки публичного доступа. Чтобы ограничить доступ ко всем существующим корзинам в вашем аккаунте, вы можете включить блокировку публичного доступа на уровне аккаунта. Параметры блокирования публичного доступа в S3 переопределяют другие разрешения S3, которые его допускают. Благодаря этому администратор аккаунта легко обеспечит применение политики запрета публичного доступа, независимо от существующих разрешений доступа, способа добавления объекта или создания корзины.

Блокировка объектов Amazon S3 делает невозможным удаление версий объектов в течение периода хранения, установленного клиентом. Эта возможность позволяет применять политики хранения в качестве дополнительного уровня защиты данных либо для соблюдения нормативных требований. Рабочие нагрузки можно перенести из существующих систем WORM (однократная запись, многократное считывание) в Amazon S3 и настроить Блокировку объектов S3 на уровне объектов или корзин, чтобы исключить удаление версий объектов до заданной даты, которую можно установить самостоятельно или в соответствии с нормативными требованиями.

Amazon S3 Object Ownership отключает списки контроля доступа (ACL) и устанавливает владельца корзины в качестве владельца всех объектов в ней, что позволяет упростить управление доступом к данным, сохраненным в S3. Когда вы настраиваете в S3 Object Ownership параметр Принудительное назначение владельца корзины, для этой корзины и размещенных в ней объектов более не применяются разрешения, заданные списками контроля доступа. Любой контроль доступа после этого определяется политиками на основе ресурсов, пользовательскими политиками или их сочетанием. Для новых корзин списки управления доступом автоматически отключаются. С помощью S3 Inventory можно проверить использование списков управления доступом в корзинах, прежде чем включить право владения объектами S3 при переходе на политики корзин на основе IAM. Подробнее см. в статье Контроль права владения объектом.

По умолчанию все ресурсы Amazon S3 – корзины, объекты и связанные подресурсы – являются частными: доступ к ресурсу имеет только владелец ресурса (аккаунт AWS, создавший его). Amazon S3 предоставляет варианты политики доступа, разбитые на крупные категории, такие как политики на основе ресурсов и пользовательские политики. Для управления разрешениями доступа к ресурсам Amazon S3 можно выбрать политики на основе ресурсов, пользовательские политики или любые их сочетания. По умолчанию владельцем объекта в S3 считается аккаунт, который создал этот объект, даже если он отличается от аккаунта владельца корзины. С помощью S3 Object Ownership вы можете переопределить это поведение и отключить списки контроля доступа. В этом случае каждый объект в корзине будет принадлежать владельцу корзины. Дополнительную информацию см. на странице Управление идентификацией и доступом в Amazon S3.

Выявляйте и защищайте конфиденциальные данные в любом масштабе в Amazon S3 с помощью Amazon Macie. Macie автоматически предоставляет полный перечень корзин S3 посредством сканирования корзин для выявления и категоризации данных. Вы получаете полезные отчеты о безопасности, содержащие перечень любых данных, которые подходят для этих типов конфиденциальных данных, в том числе персональную информацию (PII) (например, имена клиентов и номера кредитных карт), а также категорий, определенных правилами конфиденциальности, например GDPR и HIPAA. Macie также автоматически и непрерывно оценивает средства профилактического контроля на уровне корзин для любых корзин, которые являются не зашифрованными, общедоступными или находящимися в общем пользовании с аккаунтами за пределами вашей организации, что обеспечивает быстрое устранение нежелательных настроек в корзинах.

Amazon S3 автоматически шифрует все объекты, передаваемые во все корзины. Для передачи объектов Amazon S3 поддерживает шифрование на стороне сервера с четырьмя вариантами управления ключами – SSE-S3 (базовый уровень шифрования), SSE-KMS, DSSE-KMS и SSE-C – а также шифрование на стороне клиента. Amazon S3 предоставляет гибкие возможности обеспечения безопасности для предотвращения доступа неавторизованных пользователей к данным. Конечные точки VPC используются для подключения к ресурсам S3 из виртуального частного облака Amazon (Amazon VPC). Используйте инвентаризацию S3 для проверки статуса шифрования объектов S3 (подробнее об инвентаризации S3 см. в разделе об управлении хранилищем).

Видео: Обзор шифрования данных Amazon S3 »

Trusted Advisor проверяет среду AWS и предоставляет рекомендации при появлении возможностей для устранения слабых мест системы безопасности. 

Trusted Advisor выполняет такие проверки Amazon S3: проверка конфигурации ведения журналов для корзин Amazon S3, проверки безопасности корзин Amazon S3 с разрешениями на свободный доступ, проверки отказоустойчивости для корзин Amazon S3 с отключенным или приостановленным управлением версиями.

Установите доступ к Amazon S3 напрямую как к частному адресу в вашей защищенной виртуальной сети с помощью AWS PrivateLink для S3. Упростите сетевую архитектуру, установив подключение к S3 из локальной сети или в облаке, используя частные IP-адреса из Virtual Private Cloud (VPC). Для получения доступа к S3 из локальной сети вам больше не придется использовать публичные IP-адреса, изменять правила брандмауэра или настраивать шлюз Интернета.

Выбирайте один из четырех поддерживаемых алгоритмов контрольных сумм (SHA-1, SHA-256, CRC32 или CRC32C) для проверки целостности данных в загружаемых и скачиваемых запросах. Автоматически считайте и проверяйте контрольные суммы при сохранении или извлечении данных из Amazon S3, а также получайте доступ к информации о контрольных суммах с помощью API S3 GetObjectAttributes или отчета S3 Inventory.

Инструкция по началу работы с S3 для проверки целостности данных

Tech Talk: начните использовать контрольные суммы в Amazon S3 для проверки целостности данных

Блог: построение масштабируемых контрольных сумм

Блог: активация и проверка дополнительных контрольных сумм для существующих объектов в Amazon S3