Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

¿Cómo puedo proteger los archivos de mi bucket de Amazon S3?

7 minutos de lectura

Quiero limitar los permisos a mis recursos de Amazon Simple Storage Service (Amazon S3) y supervisar el acceso a estos recursos.

Breve descripción

Para proteger sus archivos y buckets de Amazon S3, siga estas recomendaciones:

Restrinja el acceso a sus recursos de S3: Limite el acceso a sus recursos a la gente que realmente lo necesite. Siga el principio del privilegio mínimo.
**Supervise sus recursos de S3:**Supervise sus recursos. Puede usar: registros de AWS CloudTrail, registros de acceso al servidor de S3, AWS Config, el Analizador de acceso de AWS Identity and Access Management (IAM), Amazon Macie, Amazon CloudWatch o la comprobación de permisos de bucket de S3 de AWS Trusted Advisor.
Utilice el cifrado para proteger sus datos: Amazon S3 admite el cifrado durante la transmisión, el cifrado del lado del servidor (SSE) y el cifrado del lado del cliente.

Resolución

Restrinja el acceso a sus recursos de S3

De forma predeterminada, todos los buckets de S3 son privados y solo pueden acceder a ellos los usuarios a los que se les haya otorgado el acceso de forma explícita.

Siga estos pasos para restringir el acceso a sus buckets u objetos de S3:

Escriba políticas de usuario de IAM que especifiquen los usuarios que pueden acceder a buckets y objetos concretos. Las políticas de IAM proporcionan una forma de administrar los permisos de Amazon S3 para varios usuarios mediante la programación. Para obtener más información sobre cómo crear y probar políticas de usuario, consulte AWSPolicy Generator e IAM Policy Simulator.
Escriba políticas de bucket que definan el acceso a buckets y objetos concretos. Puede utilizar una política de bucket para conceder el acceso a todas las cuentas de AWS, conceder permisos públicos o anónimos, así como permitir o bloquear el acceso en función de ciertas condiciones. Para obtener más información sobre cómo crear y probar políticas de bucket, consulte AWS Policy Generator.
Nota: Puede utilizar una sentencia de denegación en una política de bucket para restringir el acceso a usuarios de IAM específicos. Puede restringir el acceso aunque se conceda acceso a los usuarios en virtud de una política de IAM.
Uso de Bloqueo del acceso público de Amazon S3 como forma centralizada de limitar el acceso público. La configuración de Bloqueo del acceso público anula las políticas de buckets y los permisos de objetos. Asegúrese de activar Bloquear el acceso público para todas las cuentas y buckets a los que no desee que se pueda acceder públicamente.
Configure listas de control de acceso (ACL) para sus buckets y objetos.
Nota: Si necesita una forma de administrar los permisos mediante la programación, utilice políticas de IAM o políticas de bucket en lugar de las ACL. Sin embargo, puede utilizar las ACL cuando su política de bucket supere el tamaño máximo de archivo de 20 KB. O bien, puede utilizar las ACL para conceder acceso a los registros de acceso al servidor de Amazon S3 o a los registros de Amazon CloudFront.

Piense en estas recomendaciones cuando utilice ACL para proteger sus recursos:

Revise los permisos de ACL que permiten las acciones de Amazon S3 en un bucket o un objeto. Para ver la lista de permisos de ACL y las acciones que permiten, consulte ¿Qué permisos puedo conceder?
Sea estricto con respecto a quién tiene acceso de lectura y escritura a sus buckets.
Analice detenidamente su caso de uso antes de conceder el acceso de Lectura al grupo Todos, ya que esto permite que cualquier persona acceda al bucket o al objeto.
No permita nunca el acceso de Escritura al grupo Todos. Esta configuración permite que cualquier persona añada objetos a su bucket y, a continuación, se le facturará. Esta configuración también permite que cualquier persona elimine objetos del bucket.
No permita nunca el acceso de Escritura al grupo Cualquier usuario de AWS autenticado. Este grupo incluye a cualquier persona que tenga una cuenta de AWS activa, no solo a los usuarios de IAM de su cuenta. Para controlar el acceso de los usuarios de IAM a su cuenta, utilice una política de IAM en su lugar. Para obtener más información sobre cómo Amazon S3 evalúa las políticas de IAM, consulte Cómo Amazon S3 autoriza una solicitud.

Además de usar políticas, el bloqueo del acceso público y ACL, también puede restringir el acceso a acciones específicas de las siguientes maneras:

Active Eliminación de MFA. De este modo, los usuarios se tendrán que autenticar con un dispositivo de autenticación multifactor (MFA) antes de eliminar un objeto o desactivar el control de versiones de un bucket.
Configure el acceso a la API con protección por MFA. Obliga a los usuarios a autenticarse con un dispositivo MFA de AWS antes de llamar a determinadas operaciones de API de Amazon S3.
Si comparte temporalmente un objeto de S3 con otro usuario, cree una URL prefirmada para conceder acceso al objeto por tiempo limitado. Para obtener más información, consulte Compartir objetos mediante URL prefirmadas.

Supervisión de sus recursos de S3

Puede activar los registros y supervisar sus recursos de S3 de las siguientes maneras:

Configure registros de AWS CloudTrail. De forma predeterminada, CloudTrail solo rastrea las acciones en el nivel de bucket. Para realizar un seguimiento de las acciones en el nivel de objeto (como GetObject), active los eventos de datos de Amazon S3.
Active los registros de acceso al servidor de Amazon S3. Para obtener más información sobre cómo revisar estos registros, consulte Formato de registro de acceso al servidor de Amazon S3.
Utilice AWS Config para supervisar las ACL y las políticas de bucket para detectar cualquier infracción que permita el acceso público de lectura o escritura. Para obtener más información, consulte s3-bucket-public-read-prohibited y s3-bucket-public-write-prohibited.
Utilice AWS IAM Access Analyzer como ayuda para revisar las políticas de bucket o IAM que permiten el acceso a sus recursos de S3 desde otra cuenta de AWS.
Utilice Amazon Macie para automatizar la identificación de los datos confidenciales almacenados en sus buckets, el amplio acceso a los buckets y los buckets no cifrados de su cuenta.
Utilice CloudTrail con otros servicios, como CloudWatch o AWS Lambda, para invocar procesos específicos cuando se realicen determinadas acciones en sus recursos de S3. Para obtener más información, consulte Registrar operaciones a nivel de objetos de Amazon S3 mediante CloudWatch Events.
Si tiene un plan de soporte Business o Enterprise, puede utilizar la comprobación de permisos del bucket de S3 de AWS Trusted Advisor. Esta comprobación le informa sobre los buckets con permisos de acceso pendientes.

Utilización del cifrado para proteger sus datos

Si su caso práctico requiere cifrado durante la transmisión, utilice el protocolo HTTPS. De este modo se cifran los datos en tránsito hacia y desde Amazon S3. Todos los AWS SDK y las herramientas de AWS utilizan HTTPS de forma predeterminada.

Nota: Si utiliza herramientas de terceros para interactuar con Amazon S3, póngase en contacto con los desarrolladores para confirmar si sus herramientas también admiten el protocolo HTTPS.

Si en su caso práctico se requiere el cifrado de datos en reposo, utilice el cifrado en el servidor (SSE). Las opciones de SSE incluyen SSE-S3, SSE-KMS o SSE-C. Puede especificar los parámetros de SSE al escribir objetos en el bucket. También puede habilitar el cifrado predeterminado en su bucket con SSE-S3 o SSE-KMS.

Si su caso de uso requiere el cifrado del lado del cliente, consulte Proteger los datos mediante el cifrado del lado del cliente.