Wie kann ich die Dateien in meinem Amazon S3-Bucket sichern?

Lesedauer: 6 Minute

Ich möchte die Berechtigungen für meine Ressourcen des Amazon Simple Storage Service (Amazon S3) einschränken und den Zugriff auf diese Ressourcen überwachen.

Kurzbeschreibung

Um sicherzustellen, dass Ihre Dateien und Amazon S3-Buckets sicher sind, befolgen Sie die folgenden bewährten Methoden:

**Beschränken Sie den Zugriff auf Ihre S3-Ressourcen:**Wenn Sie AWS verwenden, beschränken Sie den Zugriff auf Ihre Ressourcen auf die Personen, die einen Zugriff unbedingt benötigen. Folgen Sie dem Prinzip der geringsten Berechtigung.
Überwachen Sie Ihre S3-Ressourcen: Überwachen Sie Ihre Ressourcen mithilfe von AWS CloudTrail-Protokollen, S3-Serverzugriffsprotokollierung, AWS Config, AWS Identity und Access Management (IAM) Access Analyzer, Amazon Macie, Amazon CloudWatch oder der S3-Berechtigungsprüfung für AWS Trusted Advisor.
**Verwenden Sie Verschlüsselung, um Ihre Daten zu schützen:**Amazon S3 unterstützt Verschlüsselung während der Übertragung, serverseitige Verschlüsselung (SSE) und clientseitige Verschlüsselung.

Lösung

Beschränken Sie den Zugriff auf Ihre S3-Ressourcen

Standardmäßig sind alle S3-Buckets privat und können nur von Benutzern abgerufen werden, denen ausdrücklich Zugriff gewährt wurde.

Beschränken Sie den Zugriff auf Ihre S3-Buckets oder -Objekte, indem Sie wie folgt vorgehen:

Verfassen Sie IAM-Benutzerrichtlinien, die festlegen, welche Benutzer auf bestimmte Buckets und Objekte zugreifen können. IAM-Richtlinien bieten eine programmatische Möglichkeit, Amazon S3-Berechtigungen für mehrere Benutzer zu verwalten. Weitere Informationen zum Erstellen und Testen von Benutzerrichtlinien finden Sie im AWS-Richtliniengenerator und im IAM-Richtliniensimulator.
Verfassen Sie Bucket-Richtlinien, die den Zugriff auf bestimmte Buckets und Objekte festlegen. Sie können eine Bucket-Richtlinie verwenden, um Zugriff auf alle AWS-Konten zu gewähren, öffentliche oder anonyme Berechtigungen zu erteilen und den Zugriff je nach Bedingungen zuzulassen oder zu blockieren. Weitere Informationen zum Erstellen und Testen von Bucket-Richtlinien finden Sie im AWS-Richtliniengenerator.
**Hinweis:**Sie können eine Deny-Anweisung in einer Bucket-Richtlinie verwenden, um den Zugriff auf bestimmte IAM-Benutzer zu beschränken. Sie können den Zugriff einschränken, auch wenn den Benutzern in einer IAM-Richtlinie Zugriff gewährt wird.
Verwenden Sie Amazon S3 Block Public Access als zentrale Methode, um den öffentlichen Zugriff einzuschränken. Die Einstellungen zur Sperrung des öffentlichen Zugriffs haben Vorrang vor Bucket-Richtlinien und Objekt-Berechtigungen. Stellen Sie sicher, dass Sie die Option Block Public Access (öffentlichen Zugriff sperren) für alle Konten und Buckets aktivieren, die nicht öffentlich zugänglich sein sollen.
Richten Sie Zugriffssteuerungslisten (ACLs) für Ihre Buckets und Objekte ein.
**Hinweis:**Wenn Sie eine programmatische Methode zur Verwaltung von Berechtigungen benötigen, verwenden Sie IAM-Richtlinien oder Bucket-Richtlinien anstelle von ACLs. Sie können ACLs jedoch verwenden, wenn Ihre Bucket-Richtlinie die maximale Dateigröße von 20 KB überschreitet. Sie können aber auch ACLs verwenden, um Zugriff auf Amazon S3-Serverzugriffsprotokolle oder Amazon CloudFront-Protokolle zu gewähren.

Beachten Sie die folgenden bewährten Methoden, wenn Sie ACLs zum Schutz Ihrer Ressourcen verwenden:

Überprüfen Sie unbedingt die ACL-Berechtigungen, die Amazon S3-Aktionen für einen Bucket oder ein Objekt zulassen. Eine Liste der ACL-Berechtigungen und der Aktionen, die sie zulassen, finden Sie unter Welche Berechtigungen kann ich gewähren?
Legen Sie genau fest, wer Lese- und Schreibzugriff auf Ihre Buckets erhält.
Überlegen Sie sich Ihren Anwendungsfall sorgfältig, bevor Sie der Gruppe Jeder Lesezugriff gewähren, denn dadurch kann jeder auf den Bucket oder das Objekt zugreifen.
Gewähren Sie der Gruppe Jeder niemals Schreibzugriff. Mit dieser Einstellung kann jeder Objekte zu Ihrem Bucket hinzufügen, die Ihnen dann in Rechnung gestellt werden. Diese Einstellung ermöglicht es auch jedem, Objekte im Bucket zu löschen.
Gewähren Sie der Gruppe Jeder autorisierte AWS-Benutzer niemals Schreibzugriff. Zu dieser Gruppe gehören alle Personen mit einem aktiven AWS-Konto, nicht nur IAM-Benutzer in Ihrem Konto. Verwenden Sie stattdessen eine IAM-Richtlinie, um den Zugriff für IAM-Benutzer auf Ihr Konto zu kontrollieren. Weitere Informationen darüber, wie Amazon S3 IAM-Richtlinien bewertet, finden Sie unter So autorisiert Amazon S3 eine Anfrage.

Zusätzlich zur Verwendung von Richtlinien, Block Public Access und ACLs können Sie den Zugriff auf bestimmte Aktionen auch auf folgende Weise einschränken:

Aktivieren Sie die Option MFA löschen, bei der sich ein Benutzer mit einem Gerät zur Multi-Faktor-Authentifizierung (MFA) authentifizieren muss, bevor er ein Objekt löscht oder die Bucket-Versionsverwaltung deaktiviert.
Richten Sie einen MFA-geschützten API-Zugriff ein, der erfordert, dass sich Benutzer mit einem AWS MFA-Gerät authentifizieren, bevor sie bestimmte API-Operationen von Amazon S3 aufrufen.
Wenn Sie ein S3-Objekt vorübergehend mit einem anderen Benutzer teilen möchten, erstellen Sie eine vorsignierte URL, um zeitlich begrenzten Zugriff auf das Objekt zu gewähren. Weitere Informationen finden Sie unter Teilen von Objekten mithilfe vorsignierter URLs.

Überwachen Sie Ihre S3-Ressourcen

Sie können die Protokollierung aktivieren und Ihre S3-Ressourcen auf folgende Weise überwachen:

Konfigurieren Sie die AWS CloudTrail-Protokolle. Standardmäßig verfolgt CloudTrail nur Aktionen auf Bucket-Ebene. Um Aktionen auf Objektebene (wie GetObject) zu verfolgen, aktivieren Sie Amazon S3-Datenereignisse.
Aktivieren Sie die Amazon S3-Serverzugriffsprotokollierung. Weitere Informationen zur Überprüfung dieser Protokolle finden Sie unter Amazon S3-Serverzugriffsprotokollformat.
Verwenden Sie AWS Config, um Bucket-ACLs und Bucket-Richtlinien auf Verstöße zu überwachen, die öffentlichen Lese- oder Schreibzugriff ermöglichen. Weitere Informationen finden Sie unter s3-bucket-public-read-prohibited und s3-bucket-public-write-prohibited.
Verwenden Sie AWS IAM Access Analyzer, um Ihnen bei der Überprüfung von Bucket- oder IAM-Richtlinien zu helfen, die den Zugriff auf Ihre S3-Ressourcen von einem anderen AWS-Konto aus gewähren.
Verwenden Sie Amazon Macie, um die Identifizierung vertraulicher Daten, die in Ihren Buckets gespeichert sind, den umfassenden Zugriff auf Ihre Buckets und unverschlüsselte Buckets in Ihrem Konto zu automatisieren.
Verwenden Sie CloudTrail zusammen mit anderen Diensten wie CloudWatch oder AWS Lambda, um bestimmte Prozesse aufzurufen, wenn bestimmte Aktionen an Ihren S3-Ressourcen ausgeführt werden. Weitere Informationen finden Sie unter Protokollieren von Amazon S3-Vorgängen auf Objektebene mithilfe von CloudWatch Events.
Wenn Sie über einen Business-Support-Plan oder einen Enterprise-Support-Plan verfügen, können Sie die S3-Bucket-Berechtigungsprüfung von AWS Trusted Advisor verwenden. Diese Prüfung informiert Sie über Buckets mit offenen Zugriffsberechtigungen.
**Hinweis:**Bei dieser Überprüfung mit Trusted Advisor wird nicht nach Bucket-Richtlinien gesucht, die Bucket-ACLs außer Kraft setzen.

Verwenden Sie Verschlüsselung, um Ihre Daten zu schützen

Wenn Ihr Anwendungsfall eine Verschlüsselung während der Übertragung erfordert, unterstützt Amazon S3 das HTTPS-Protokoll, das Daten während der Übertragung zu und von Amazon S3 verschlüsselt. Alle AWS-SDKs und AWS-Tools nutzen standardmäßig HTTPS.
**Hinweis:**Wenn Sie Tools von Drittanbietern verwenden, um mit Amazon S3 zu interagieren, wenden Sie sich an die jeweiligen Entwickler, um zu überprüfen, ob ihre Tools auch das HTTPS-Protokoll unterstützen.

Wenn Ihr Anwendungsfall eine Verschlüsselung für Daten im Ruhezustand erfordert, bietet Amazon S3 eine serverseitige Verschlüsselung (SSE). Zu den SSE-Optionen gehören SSE-S3, SSE-KMS oder SSE-C. Sie können die SSE-Parameter definieren, wenn Sie Objekte in den Bucket schreiben. Sie können die Standardverschlüsselung für Ihren Bucket auch mit SSE-S3 oder SSE-KMS aktivieren.

Wenn Ihr Anwendungsfall eine clientseitige Verschlüsselung erfordert, finden Sie weitere Informationen unter Daten mit clientseitiger Verschlüsselung schützen.