Amazon S3 Güvenlik ve Erişim Yönetimi

Kullanıcılar, Amazon S3 içinde verilerini koruyabilmek için varsayılan olarak sadece oluşturdukları S3 kaynaklarına erişim hakkına sahiptir. Diğer kullanıcılara şu erişim yönetimi özelliklerinden birini tek başına veya bu özelliklerin birden fazlasını aynı anda kullanarak erişim hakkı tanıyabilirsiniz: kullanıcı oluşturmak ve oluşturulan kullanıcıların erişimlerini yönetmek için AWS Kimlik ve Erişim Yönetimi (IAM), belirli nesneleri yetkilendirilmiş kullanıcıların erişimine açmak için Erişim Denetimi Listeleri (ACL'ler), tek bir S3 bucket'ı içindeki tüm nesnelere yönelik izinleri yapılandırmak için bucket politikaları ve geçici URL'ler kullanarak diğer kullanıcılara zaman kısıtlamalı erişim hakkı tanımak için Sorgu Dizesi Kimlik Doğrulaması. Amazon S3, S3 kaynaklarınızla ilgili olarak kimlerin hangi verilere erişimi olduğu konusunda tam bir görünürlük sağlamaya yönelik istekleri listeleyen Denetim Günlükleri'ni de destekler.

S3 yönetim konsolunda yalnızca birkaç tıklamayla S3 Genel Erişimi Engelleme özelliğini hesabınızdaki her bir bucket'a (mevcut bucket'lar ve gelecekte oluşturulacak yeni bucket'lar dahil) uygulayabilir ve hiçbir nesneye genel erişimin olmadığından emin olabilirsiniz. Tüm yeni bucket'larda Genel Erişimi Engelleme varsayılan olarak etkinleştirilmiştir. Hesabınızdaki mevcut tüm bucket'lara erişimi kısıtlamak için hesap düzeyinde Genel Erişimi Engelleme'yi etkinleştirebilirsiniz. S3 Genel Erişimi Engelleme ayarları, genel erişime izin veren S3 izinlerini devre dışı bırakarak hesap yöneticisinin bir nesnenin nasıl eklendiğinden ya da bir bucket'ın nasıl oluşturulduğundan bağımsız olarak güvenlik yapılandırmasında varyasyonların olmasını önlemek için merkezî bir denetim ayarlamasını kolaylaştırır.

Amazon S3 Nesne Kilidi, müşteri tarafından tanımlanan bir saklama süresi boyunca nesne sürümünün silinmesini engeller ve saklama politikalarını veri koruma veya mevzuat uyumluluğu açısından ek bir katman olarak zorunlu tutmanıza olanak sağlar. İş yüklerini mevcut bir kez yaz birçok kez oku (WORM) sistemlerinden Amazon S3’e aktarabilir ve nesne sürümlerinin önceden tanımlı Saklama Son Tarihleri veya Yasal Bekletme Tarihleri öncesinde silinmesini önlemek amacıyla S3 Nesne Kilidi’ni nesne ve bucket seviyelerinde yapılandırabilirsiniz.

Amazon S3 Nesne Sahipliği, Erişim Denetimi Listelerini (ACL'ler) devre dışı bırakarak tüm nesneler için sahipliği klasör sahibine değiştirir ve S3'te depolanan veriler için erişim yönetimini basitleştirir. S3 Nesne Sahipliği'nde Bucket owner enforced (Bucket sahibi zorunlu) ayarını yapılandırdığınızda, ACL'ler bucket’ınız ve içindeki nesneler için izinleri artık etkilemeyecektir. Tüm erişim denetimi; kaynak temelli politikaların, kullanıcı politikalarının ve bunların bazı kombinasyonlarının kullanımıyla tanımlanacaktır. ACL'ler yeni bucket'lar için otomatik olarak devre dışı bırakılır. IAM tabanlı bucket politikalarına geçiş yaparken S3 Nesne Sahipliği'ni etkinleştirmeden önce bucket'larınızdaki ACL kullanımını gözden geçirmek için S3 Envanteri'ni kullanabilirsiniz. Daha fazla bilgi için bkz. Nesne Sahipliğini Denetleme.

Tüm Amazon S3 kaynakları (klasörler, nesneler ve ilgili alt kaynaklar) özeldir: Sadece kaynak sahibinin oluşturduğu bir AWS hesabı bu kaynaklara erişebilir. Amazon S3, kaynak tabanlı politikalar ve kullanıcı politikaları olarak kategorize edilen erişim politikası opsiyonlarını sunmaktadır. Amazon S3 kaynaklarınıza izin vermek için kaynak tabanlı politikaları, kullanıcı politikalarını ya da bunların bir kombinasyonunu kullanabilirsiniz. Bir S3 nesnesi varsayılan olarak, bu hesabın klasör sahibinden farklı olduğu durumlar da dâhil olmak üzere nesneyi oluşturan hesaba aittir. S3 Nesne Sahipliği'ni kullanarak Erişim Denetimi Listelerini devre dışı bırakabilir ve bu davranışı değiştirebilirsiniz. Bu durumda, bucket'taki her bir nesne bucket sahibine ait olur. Daha fazla bilgi için bkz. Amazon S3'te kimlik ve erişim yönetimi.

Amazon Macie ile Amazon S3'te hassas verilerinizi büyük ölçekte keşfedin ve koruyun. Macie, verileri tanımlamak ve kategorize etmek için S3 klasörlerinin tam envanterini size otomatik olarak sunar. Örneğin, kimliği tanımlayabilecek bilgiler (PII) (ör. müşteri isimleri ve kredi kartı numaraları) gibi hassas veri türlerine ve GDPR ve HIPAA gibi mahremiyet mevzuatlarınca tanımlanan kategorilere uyan tüm verileri numaralandıran güvenlik bulguları elde edersiniz. Macie ayrıca şifrelenmemiş, kamuya açık ya da örgütünüz dışındaki hesaplarla paylaşılmış olan tüm klasörler için klasör seviyesinde önleyici kontrolleri otomatik ve sürekli olarak değerlendirir ve size de klasörlerdeki istenmeyen ayarlara hızlıca ulaşma imkânı tanır.

Amazon S3, tüm bucket'lara yapılan tüm nesne yüklemelerini otomatik olarak şifreler. Amazon S3, nesne yüklemeleri için dört anahtar yönetim seçeneğiyle sunucu tarafı şifrelemeyi destekler: SSE-S3 (temel şifreleme düzeyi), SSE-KMS, DSSE-KMS, SSE-C ve ayrıca istemci tarafı şifreleme. Amazon S3, yetkisiz kullanıcıların verilerinize erişmesini engelleyen esnek güvenlik özellikleri sunar. Amazon Sanal Özel Bulut (Amazon VPC) ortamınızdan Amazon S3 kaynaklarınıza VPC uç noktalarını kullanarak bağlanabilirsiniz. S3 nesnelerinizin şifreleme durumunu kontrol etmek için S3 Envanteri'ni kullanın (S3 Envanteri hakkında daha fazla bilgi için depolama yönetimine başvurun).

Video: Amazon S3 veri şifrelemesine genel bakış »

Güvenilir Danışman, AWS ortamınızı inceler ve daha sonra güvenlik açıklarınızı kapatmak üzere fırsatlar doğduğunda önerilerde bulunur. 

Güvenilir Danışman, Amazon S3 ile ilişkili şu kontrollere sahiptir: Amazon S3 klasörlerine yönelik günlük kaydı yapılandırması, açık erişim izinlerine sahip Amazon S3 klasörleri için güvenlik kontrolleri ve sürüm oluşturmaya sahip olmayan ya da sürüm oluşturma özelliği askıya alınmış olan Amazon S3 klasörleri için hata toleransı kontrolleri.

S3 İçin AWS PrivateLink ile Amazon S3'e güvenli, sanal ağınız içindeki özel bir uç nokta olarak doğrudan erişin. Sanal Özel Bulut’unuzdaki (VPC) özel IP adreslerini kullanarak şirket içinden veya bulutta S3'e bağlanarak ağ mimarinizi basitleştirin. Artık şirket içinden S3'e erişmek için genel IP'ler kullanmanıza, güvenlik duvarı kurallarını değiştirmenize veya bir internet ağ geçidi yapılandırmanıza gerek yok.

Yükleme ve indirme isteklerinizde veri bütünlüğünü kontrol etmek için desteklenen dört sağlama toplamı algoritması (SHA-1, SHA-256, CRC32 veya CRC32C) arasından seçim yapın. Verileri Amazon S3'te depolar veya Amazon S3'ten alırken sağlama toplamlarını otomatik olarak hesaplayıp doğrulayın ve GetObjectAttributes S3 API'sini ya da S3 Inventory raporunu kullanarak istediğiniz zaman sağlama toplamı bilgilerine erişin.

S3 veri bütünlüğü kontrolünü kullanmaya başlama öğreticisi

Teknoloji Konuşması: Amazon S3'te veri bütünlüğü denetimi için sağlama toplamlarını kullanmaya başlayın

Blog: Ölçeklenebilir sağlama toplamları oluşturma

Blog: Amazon S3'teki mevcut nesnelerde ek sağlama toplamlarını etkinleştirme ve doğrulama