Gestione della sicurezza e degli accessi di Amazon S3

Per impostazione predefinita, al fine di proteggere i dati in Amazon S3 gli utenti hanno accesso solo alle risorse S3 da loro create. Puoi garantire l'accesso ad altri utenti utilizzando una o più delle seguenti caratteristiche di gestione degli accessi: AWS Identity and Access Management (IAM), per creare utenti e gestirne gli accessi; liste di controllo degli accessi (ACL), per rendere singoli oggetti accessibili a utenti autorizzati; policy del bucket, per configurare le autorizzazioni per tutti gli oggetti all'interno di un singolo bucket S3; autenticazione con stringa di query, per consentire ad altri accesso a tempo limitato tramite URL temporanei. Amazon S3 supporta anche i log di audit che elencano le richieste effettuate sulle risorse S3 per una visibilità completa su chi accede a quali dati.

Con pochi clic nella console di gestione S3 è ora possibile applicare Blocco dell'accesso pubblico S3 a ogni bucket del proprio account, sia esistente che di futura creazione, e assicurarsi che non venga effettuato l'accesso pubblico ad alcun oggetto. Di default, in tutti i nuovi bucket è abilitato il Blocco dell'accesso pubblico. Per limitare l'accesso a tutti i bucket esistenti nel tuo account, puoi abilitare Blocco dell'accesso pubblico a livello di account. Le impostazioni S3 Blocco dell'accesso pubblico sovrascrivono le autorizzazioni S3 che consentono tale accesso; ciò semplifica l’impostazione, da parte dell’amministratore, di un controllo centralizzato che impedisca modifiche nella configurazione della sicurezza indipendentemente dalla modalità di aggiunta di un oggetto o dalla creazione di un bucket.

Amazon S3 Object Lock blocca l'eliminazione della versione degli oggetti durante un periodo di conservazione definito dal cliente, consentendogli di applicare criteri di conservazione come il livello aggiuntivo di protezione dei dati o la conformità normativa. Puoi migrare i carichi di lavoro dai sistemi WORM (Write-Once-Read-Many) esistenti ad Amazon S3 e configurare S3 Object Lock a livello di oggetto e di bucket per prevenire l'eliminazione della versione degli oggetti prima della data di fine conservazione o della data di conservazione di carattere legale predefinita.

La proprietà degli oggetti di Amazon S3 ha disabilitato la lista di controllo accessi (ACL), modificando la proprietà di tutti gli oggetti al proprietario del bucket e semplificando la gestione degli accessi per i dati archiviati in S3. Nel configurare l'impostazione applicata del proprietario del bucket di proprietà degli oggetti S3, le ACL non influiranno più sulle autorizzazioni per il bucket e gli oggetti in esso contenuti. Tutto il controllo degli accessi verrà definito utilizzando criteri basati sulle risorse, criteri utente o una combinazione dei due. Le ACL vengono automaticamente disabilitate per i nuovi bucket. Puoi utilizzare S3 Inventory per esaminare l'utilizzo delle ACL nei bucket prima di abilitare S3 Object Ownership durante la migrazione a policy dei bucket basate su IAM. Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti.

Per impostazione predefinita, tutte le risorse di Amazon S3 (bucket, oggetti e relative sottorisorse) sono private: solo il proprietario della risorsa, l'account AWS che l'ha creata, può accedervi. Amazon S3 offre opzioni di policy ampiamente categorizzate come policy basate sulle risorse e policy utente. Puoi scegliere di utilizzare le policy basate sulle risorse, le policy utente o alcune combinazioni delle suddette per gestire le autorizzazioni alle tue risorse di Amazon S3. Di default, un oggetto S3 è di proprietà dell'account che ha creato l'oggetto, anche quando questo account è diverso dal proprietario del bucket. È possibile utilizzare Proprietà oggetto S3 per disabilitare la lista di controllo accessi e modificare questo comportamento. Se è così, ogni oggetto in un bucket è proprietà del proprietario del bucket. Per ulteriori informazioni, consulta Identity and Access Management su Amazon S3.

Individua e proteggi i tuoi dati sensibili su vasta scala in Amazon S3 con Amazon Macie. Macie fornisce automaticamente un inventory completo di bucket S3 scansionando i bucket per identificare e categorizzare i dati. Fai scoperte sulla sicurezza direttamente realizzabili elencando tutti i dati corrispondenti ai tipi di dati sensibili, come quelli che consentono l'identificazione personale (ad esempio i nomi dei clienti o delle carte di credito) e le categorie definite dai regolamenti sulla privacy, come il GDPR e gli standard HIPAA. Inoltre, Macie valuta automaticamente e continuamente i controlli preventivi a livello di bucket per tutti i bucket non crittografati, accessibili pubblicamente o condivisi con gli account al di fuori dell'organizzazione, permettendo di identificare rapidamente le impostazioni indesiderate sui bucket.

Amazon S3 crittografa automaticamente tutti i caricamenti di oggetti su tutti i bucket. Per i caricamenti di oggetti, Amazon S3 supporta la crittografia lato server con quattro opzioni di gestione delle chiavi: DSSE-KMS, SSE-KMS, SSE-C e SSE-S3 (il livello base di crittografia), nonché la crittografia lato client. Amazon S3 offre funzionalità di sicurezza flessibili per impedire a utenti non autorizzati di accedere ai tuoi dati. Utilizza gli endpoint VPC per connettere le risorse S3 dal tuo Amazon Virtual Private Cloud (Amazon VPC). Utilizza l'inventario S3 per controllare lo stato della crittografia degli oggetti S3 (consulta la sezione relativa alla gestione dell'archiviazione per ulteriori informazioni sull'inventario S3).

Video: Panoramica sulla crittografia dei dati di Amazon S3 »

Trusted Advisor esamina l'ambiente AWS e invia suggerimenti se riscontra dei modi per aiutare a risolvere problemi relativi alla sicurezza. 

Trusted Advisor prevede i seguenti controlli relativi ad Amazon S3: configurazione di log dei bucket di Amazon S3, controlli di sicurezza per i bucket di Amazon S3 con autorizzazioni di accesso libero e controlli di tolleranza ai guasti per i bucket di Amazon S3 con controllo di versione disabilitato o sospeso.

Accedi ad Amazon S3 direttamente come endpoint privato all'interno della tua rete virtuale sicura con AWS PrivateLink per S3. Semplifica l'architettura della tua rete connettendoti a S3 in locale o al cloud, utilizzando indirizzi IP privati dal Virtual Private Cloud (VPC). Non devi più utilizzare IP pubblici, configurare le regole del firewall o un gateway Internet per accedere a S3 da ambienti On-Premise.

Puoi scegliere tra quattro algoritmi checksum supportati (SHA-1, SHA-256, CRC32 o CRC32C) per il controllo dell’integrità dei dati nelle tue richieste di caricamento e download. Calcola e verifica automaticamente i checksum mentre archivi o recuperi dati da Simple Storage Service (Amazon S3), e accedi alle informazioni relative al checksum in qualunque momento tramite l’API S3 GetObjectAttributes o il report sull’inventario S3.

Tutorial sulle nozioni di base del controllo di integrità dei dati S3

Tech Talk: Verifica l'integrità dei dati in Amazon S3 con checksum aggiuntivi

Blog: Building scalable checksums

Blog: Enabling and validating additional checksums on existing objects in Amazon S3