Khả năng quản lý bảo mật và truy cập của Amazon S3

Để bảo vệ dữ liệu của bạn trong Amazon S3, theo mặc định, người dùng chỉ có quyền truy cập vào tài nguyên S3 mà họ tạo. Bạn có thể cấp quyền truy cập cho người dùng khác bằng cách sử dụng một hoặc kết hợp các tính năng quản lý truy cập sau: Quản lý danh tính và truy cập (IAM) trong AWS để tạo người dùng và quản lý quyền truy cập tương ứng của họ; Danh sách kiểm soát truy cập (ACL) để cấp phép cho người dùng truy cập vào từng đối tượng; chính sách vùng lưu trữ để cấu hình quyền cho tất cả đối tượng trong một vùng lưu trữ S3 và Xác thực chuỗi ký tự truy vấn để cấp quyền truy cập trong thời gian giới hạn cho người khác bằng URL tạm thời. Amazon S3 cũng hỗ trợ Bản ghi kiểm tra liệt kê các yêu cầu được đưa ra đối với tài nguyên S3 để bạn có được cái nhìn toàn diện về đối tượng truy cập và dữ liệu được truy cập.

Chỉ cần một vài cú nhấp chuột trong bảng điều khiển quản lý S3, bạn có thể áp dụng tính năng Chặn truy cập công cộng trong S3 cho mọi vùng lưu trữ trong tài khoản của mình – cả vùng lưu trữ hiện có và bất kỳ vùng lưu trữ mới nào được tạo trong tương lai – đồng thời đảm bảo rằng không có truy cập công cộng vào bất kỳ đối tượng nào. Tất cả các vùng lưu trữ mới đều được bật Chặn truy cập công cộng theo mặc định. Để hạn chế truy cập vào tất cả các vùng lưu trữ hiện có trong tài khoản của mình, bạn có thể bật Chặn truy cập công cộng ở cấp độ tài khoản. Các cài đặt Chặn truy cập công cộng trong S3 thay thế quyền S3 cho phép truy cập công cộng, giúp quản trị viên tài khoản dễ dàng thiết lập hoạt động kiểm soát tập trung để ngăn chặn sự thay đổi trong cấu hình bảo mật, bất kể cách thêm đối tượng hay cách tạo vùng lưu trữ.

Khóa đối tượng Amazon S3 chặn việc xóa phiên bản đối tượng trong một khoảng thời gian lưu giữ do khách hàng xác định, cho phép bạn thực thi các chính sách lưu giữ như một lớp bảo vệ dữ liệu bổ sung hoặc nhằm tuân thủ quy định. Bạn có thể di chuyển khối lượng công việc từ hệ thống ghi một lần đọc nhiều lần (WORM) vào Amazon S3 và cấu hình Khóa đối tượng S3 ở cấp độ đối tượng và vùng lưu trữ để ngăn việc xóa phiên bản đối tượng trước Ngày hết hạn giữ lại hoặc Ngày hết hạn lưu giữ vì mục đích pháp lý đã xác định sẵn.

Amazon S3 Object Ownership vô hiệu hóa Danh sách kiểm soát truy cập (ACL), thay đổi quyền sở hữu tất cả đối tượng thành chủ sở hữu vùng lưu trữ và đơn giản hóa quy trình quản lý quyền truy cập cho dữ liệu được lưu trữ trong S3. Khi bạn cấu hình chế độ cài đặt Do chủ sở hữu vùng lưu trữ thực thi trong Quyền sở hữu đối tượng trong S3, ACL sẽ không còn ảnh hưởng đến quyền đối với vùng lưu trữ của bạn và các đối tượng trong đó. Toàn bộ việc kiểm soát truy cập sẽ được xác định bằng các chính sách dựa trên tài nguyên, chính sách người dùng hoặc kết hợp những chính sách này. ACL tự động tắt cho các vùng lưu trữ mới. Bạn có thể sử dụng Kiểm kê S3 để đánh giá việc sử dụng ACL trong vùng lưu trữ của mình trước khi bật tính năng Quyền sở hữu đối tượng S3 khi chuyển sang các chính sách về vùng lưu trữ dựa trên IAM. Để biết thêm thông tin, hãy xem phần Kiểm soát quyền sở hữu đối tượng.

Theo mặc định, tất cả tài nguyên Amazon S3 – vùng lưu trữ, đối tượng và các tài nguyên phụ có liên quan – đều được đặt là riêng tư: chỉ có chủ sở hữu tài nguyên (tài khoản AWS tạo ra tài nguyên đó) mới có thể truy cập tài nguyên. Amazon S3 cung cấp các tùy chọn chính sách truy cập được phân loại theo phạm vi rộng là chính sách dựa trên tài nguyên và chính sách người dùng. Bạn có thể chọn sử dụng chính sách dựa trên tài nguyên, chính sách người dùng hoặc kết hợp những chính sách này để quản lý quyền đối với tài nguyên Amazon S3 của mình. Theo mặc định, một đối tượng S3 thuộc sở hữu của tài khoản đã tạo đối tượng, kể cả khi tài khoản đó không phải chủ sở hữu vùng lưu trữ. Bạn có thể dùng S3 Object Ownership để vô hiệu hoá Danh sách kiểm soát truy cập và thay đổi hành vi này. Nếu bạn làm như vậy, mỗi đối tượng trong một vùng lưu trữ sẽ thuộc sở hữu của chủ sở hữu vùng lưu trữ. Để biết thêm thông tin, hãy xem phần Quản lý danh tính và quyền truy cập trong Amazon S3.

Phát hiện và bảo vệ dữ liệu nhạy cảm trên quy mô lớn trong Amazon S3 bằng Amazon Macie. Macie tự động cung cấp cho bạn bản kê đầy đủ về vùng lưu trữ S3 bằng cách quét các vùng lưu trữ để xác định và phân loại dữ liệu. Bạn nhận được kết quả phát hiện về bảo mật có thể hành động, trong đó liệt kê mọi dữ liệu khớp với các loại dữ liệu nhạy cảm này, bao gồm cả thông tin nhận dạng cá nhân (PII) (ví dụ: tên khách hàng và số thẻ tín dụng), và các danh mục được xác định theo các quy định về quyền riêng tư, chẳng hạn như GDPR và HIPAA. Macie cũng tự động và liên tục đánh giá các biện pháp kiểm soát phòng ngừa cấp độ vùng lưu trữ cho bất kỳ vùng lưu trữ nào đang không được mã hóa, có thể truy cập công cộng hoặc được chia sẻ với các tài khoản bên ngoài tổ chức của bạn, cho phép bạn nhanh chóng xác định các cài đặt không mong muốn trên các vùng lưu trữ.

Amazon S3 tự động mã hóa tất cả các lượt tải đối tượng lên tất cả các vùng lưu trữ. Đối với các lượt tải lên đối tượng, Amazon S3 hỗ trợ mã hóa phía máy chủ với bốn tùy chọn quản lý khóa: SSE-S3 (cấp độ mã hóa cơ bản), SSE-KMS, DSSE-KMS, and SSE-C, cũng như mã hóa phía máy khách. Amazon S3 cung cấp các tính năng bảo mật linh hoạt để chặn không cho người dùng trái phép truy cập dữ liệu của bạn. Bạn có thể kết nối với tài nguyên S3 từ Đám mây riêng ảo của Amazon (Amazon VPC) bằng cách sử dụng điểm cuối VPC. Sử dụng Kiểm kê S3 để kiểm tra trạng thái mã hóa của các đối tượng S3 (xem quản lý lưu trữ để biết thêm thông tin về Kiểm kê S3).

Video: Tổng quan về mã hóa dữ liệu Amazon S3 »

Trusted Advisor kiểm tra môi trường AWS của bạn rồi đưa ra các đề xuất khi có cơ hội để hỗ trợ khắc phục lỗ hổng bảo mật. 

Trusted Advisor có các hoạt động kiểm tra liên quan đến Amazon S3 như sau: ghi nhật ký cấu hình của vùng lưu trữ Amazon S3, kiểm tra bảo mật cho các vùng lưu trữ Amazon S3 có quyền truy cập mở, cũng như kiểm tra khả năng chịu lỗi của các vùng lưu trữ Amazon S3 không bật quản lý phiên bản hoặc đang tạm dừng quản lý phiên bản.

Truy cập trực tiếp vào Amazon S3 dưới dạng một điểm cuối riêng tư trong mạng ảo an toàn của bạn với AWS PrivateLink dành cho S3. Đơn giản hóa kiến trúc mạng của bạn bằng cách kết nối với S3 tại chỗ hoặc trên nền tảng đám mây bằng địa chỉ IP riêng từ Đám mây riêng ảo (VPC) của bạn. Bạn không còn cần phải dùng IP công cộng, định cấu hình quy tắc tường lửa hoặc định cấu hình cổng internet để truy cập S3 từ các vị trí tại chỗ.

Lựa chọn từ 4 thuật toán giá trị tổng kiểm được hỗ trợ (SHA-1, SHA-256, CRC32 hoặc CRC32C) để kiểm tra tính toàn vẹn của dữ liệu trong yêu cầu tải lên và tải xuống của bạn. Tự động tính toán và xác minh giá trị tổng kiểm khi bạn lưu trữ hoặc truy xuất dữ liệu từ Amazon S3, đồng thời truy cập thông tin về giá trị tổng kiểm bất cứ lúc nào bằng S3 API GetObjectAttributes hoặc báo cáo Kho S3.

Hướng dẫn bắt đầu kiểm tra tính toàn vẹn của dữ liệu trên S3

Tọa đàm công nghệ: Bắt đầu sử dụng giá trị tổng kiểm trong Amazon S3 để kiểm tra tính toàn vẹn của dữ liệu

Blog: Xây dựng các giá trị tổng kiểm có quy mô linh hoạt

Blog: Kích hoạt và xác thực các giá trị tổng kiểm bổ sung trên các đối tượng hiện có trong Amazon S3