Gerenciamento de segurança e acesso do Amazon S3

Por padrão, para proteger os dados no Amazon S3, os usuários só têm acesso aos recursos do S3 que criam. Você pode conceder acesso a outros usuários usando um recurso ou uma combinação dos seguintes recursos de gerenciamento de acesso: AWS Identity and Access Management (IAM) para criar usuários e gerenciar o respectivo acesso; Listas de controle de acesso (ACLs) para tornar objetos individuais acessíveis para usuários autorizados; Políticas de bucket para configurar permissões para todos os objetos em um único bucket do S3; e Autenticação da string de consulta para conceder acesso por tempo limitado a outras pessoas com URLs temporárias. O Amazon S3 também oferece suporte a logs de auditoria que listam as solicitações feitas em seus recursos do S3 para oferecer visibilidade total sobre quem está acessando quais dados.

Com apenas alguns cliques no console de gerenciamento do S3, você pode aplicar o Bloqueio de acesso público do S3 a cada bucket em sua conta, tanto buckets atuais quanto criados no futuro, e garantir que não haja acesso público a nenhum objeto. Todos os novos buckets têm o Bloqueio de acesso público habilitado por padrão. Para restringir o acesso a todos os buckets existentes em sua conta, você pode ativar o Bloqueio de acesso público no nível da conta. As configurações do Bloqueio de acesso público do S3 substituem as permissões do S3 que permitem o acesso público, tornando mais fácil para o administrador da conta configurar um controle centralizado para evitar variações na configuração de segurança, independentemente de como um objeto é adicionado ou um bucket é criado.

O Bloqueio de Objetos do Amazon S3 bloqueia a exclusão de versões de objetos durante um período de retenção definido pelo cliente para que você possa aplicar políticas de retenção como uma camada adicional de proteção de dados ou de conformidade normativa. Você pode migrar workloads de sistemas do tipo gravação única e várias leituras (WORM) para um Amazon S3 e configurar o Bloqueio de objetos do S3 nos níveis do objeto e do bucket para evitar exclusões de versões de objetos antes das Datas de retenção até ou Datas de bloqueio legal predefinidas.

O Amazon S3 Object Ownership desativa as listas de controle de acesso (ACLs), alterando a propriedade de todos os objetos para o proprietário do bucket e simplificando o gerenciamento de acesso aos dados armazenados no S3. Quando você configura a configuração Proprietário do bucket aplicado do S3 Object Ownership, as ACLs não afetarão mais as permissões do seu bucket e dos objetos nele. Todo o controle de acesso será definido por meio de políticas baseadas em recursos, políticas de usuário ou uma combinação delas. As ACLs são desabilitadas automaticamente para novos buckets. Você pode usar o S3 Inventory para analisar o uso de ACLs em seus buckets antes de habilitar o S3 Object Ownership ao migrar para políticas de buckets baseadas no IAM. Para obter mais informações, consulte Controlar a propriedade de objetos.

Por padrão, todos os recursos do Amazon S3, como buckets, objetos e sub-recursos relacionados, são privados: somente o proprietário do recurso, uma conta da AWS que o criou, pode acessar o recurso. O Amazon S3 oferece opções de política de acesso classificadas amplamente como políticas com base em recursos e políticas de usuário. Você pode optar por usar políticas com base em recursos, políticas de usuário ou qualquer combinação delas para gerenciar permissões para seus recursos do Amazon S3. Por padrão, um objeto S3 pertence à conta que criou o objeto, incluindo quando essa conta é diferente do proprietário do bucket. Você pode usar S3 Object Ownership para desabilitar as listas de controle de acesso e alterar esse comportamento. Caso faça isso, cada objeto em um bucket será de propriedade do proprietário do bucket. Para obter mais informações, consulte Gerenciamento de identidade e acesso para o Amazon S3.

Descubra e proteja dados sigilosos em grande escala no Amazon S3 com o Amazon Macie. O Macie fornece automaticamente um inventário completo dos seus buckets do S3, examinando esses buckets para identificar e categorizar os dados. Você recebe descobertas de segurança acionáveis, enumerando quaisquer dados que se adaptem a esses tipos de dados sigilosos, incluindo “personal identifiable information” (PII – informações de identificação pessoal) (por exemplo, nomes de clientes e números de cartões de crédito) e categorias definidas por regulamentos de privacidade, como o GDPR e o HIPAA. O Macie também avalia controles preventivos em nível de bucket de forma automática e contínua para descobrir quaisquer buckets não criptografados, publicamente acessíveis ou compartilhados com contas fora da sua organização, permitindo que você resolva rapidamente configurações não intencionais em buckets.

O Amazon S3 criptografa automaticamente todos os objetos carregados em todos os buckets. Para carregar objetos, o Amazon S3 oferece suporte à criptografia do lado do servidor com quatro opções de gerenciamento de chaves: SSE-S3 (o nível básico de criptografia), SSE-KMS, DSSE-KMS e SSE-C, bem como criptografia do lado do cliente. O Amazon S3 oferece recursos de segurança flexíveis para impedir que usuários não autorizados acessem seus dados. Use VPC endpoints para se conectar aos recursos do S3 a partir da Amazon Virtual Private Cloud (Amazon VPC). Use o Inventário do S3 para verificar o status de criptografia dos objetos do S3 (consulte Gerenciamento de armazenamento para obter mais informações sobre o Inventário do S3).

Vídeo: Visão geral da criptografia de dados do Amazon S3 »

O Trusted Advisor inspeciona seu ambiente da AWS e, em seguida, faz recomendações quando existem oportunidades para ajudar a fechar lacunas de segurança. 

O Trusted Advisor tem as seguintes verificações relacionadas ao Amazon S3: configuração de registro em log de buckets do Amazon S3, verificações de segurança para buckets do Amazon S3 que têm permissões de acesso aberto, verificações de tolerância a falhas para buckets do Amazon S3 que não têm o versionamento habilitado ou cujo versionamento está suspenso.

Acesse o Amazon S3 diretamente como um endpoint privado dentro de sua rede virtual segura com o AWS PrivateLink for S3. Simplifique sua arquitetura de rede conectando-se ao S3 on-premises ou na nuvem com o uso de endereços IP privados da sua Virtual Private Cloud (VPC). Não é mais necessário usar IPs públicos, configurar regras de firewall ou configurar um gateway da Internet para acessar o S3 em ambientes on-premises.

Escolha entre quatro algoritmos compatíveis de soma de verificação (SHA-1, SHA-256, CRC32 ou CRC32C) para verificar a integridade de dados em suas solicitações para carregar e baixar. Calcule e verifique somas de verificação automaticamente à medida que armazena ou recupera dados do Simple Storage Service (Amazon S3). Acesse as informações de soma de verificação a qualquer momento usando a API GetObjectAttributes do S3 ou um relatório do S3 Inventory.

Tutorial de introdução à verificação de integridade de dados do S3

Tech Talk: Get started with checksums in Amazon S3 for data integrity checking

Blog: Building scalable checksums

Blog: Enabling and validating additional checksums on existing objects in Amazon S3