Comment sécuriser les fichiers de mon compartiment Amazon S3 ?

Résolution

Tout d'abord, déterminez si votre type de compartiment Amazon S3 est de type à usage général, répertoire ou table. Puis, choisissez les mesures de sécurité et les services de surveillance qui correspondent à votre type de compartiment.

Restreindre l'accès à vos ressources S3

Par défaut, tous les compartiments S3 sont privés. Seuls les utilisateurs auxquels vous accordez explicitement des autorisations de compartiment peuvent accéder au compartiment.

Pour restreindre l'accès à vos compartiments ou objets S3, procédez comme suit :

• Utilisez des politiques basées sur l'identité qui spécifient les utilisateurs qui peuvent accéder à des compartiments et à des objets spécifiques. Pour créer et tester des politiques utilisateur, utilisez le générateur de politiques AWS et le simulateur de politiques IAM.
• Utilisez des politiques de compartiment qui définissent l’accès à des compartiments et à des objets spécifiques. Utilisez une politique de compartiment pour accorder l’accès à tous les comptes AWS, accorder des autorisations publiques ou anonymes, et autoriser ou bloquer l’accès en fonction de certaines conditions.
  Remarque : Vous pouvez utiliser une instruction de refus dans une politique de compartiment pour restreindre l'accès à des utilisateurs spécifiques de Gestion des identités et des accès AWS (AWS IAM), même lorsque vous avez accordé l'accès aux utilisateurs dans une politique IAM.
• Utilisez le Blocage de l’accès public Amazon S3 comme méthode centralisée pour limiter l'accès public. Les paramètres de blocage de l’accès public remplacent les politiques des compartiments et les autorisations des objets. Assurez-vous d’activer l’option Blocage de l’accès public pour tous les comptes et compartiments que vous ne souhaitez pas rendre publics. Amazon S3 active l'option Blocage de l'accès public par défaut pour tous les nouveaux comptes et compartiments. Désactivez cette fonctionnalité uniquement lorsque vous avez explicitement besoin d'un accès public à vos ressources S3. Si vous désactivez Blocage de l'accès public sur un compartiment, auditez régulièrement le compartiment.
• Configurez la listes de contrôle d'accès (ACL) sur vos compartiments et objets.
  Remarque : Si vous devez gérer les autorisations par programmation, utilisez des politiques IAM ou des politiques de compartiment plutôt que des ACL. Toutefois, vous pouvez utiliser des ACL lorsque votre politique de compartiment dépasse la taille de fichier maximale de 20 Ko. Vous pouvez également utiliser des ACL pour accorder l'accès aux journaux d'accès au serveur Amazon S3 ou aux journaux Amazon CloudFront.
• Utilisez les politiques de contrôle des services (SCP) pour gérer et appliquer de manière centralisée les politiques de sécurité S3 sur tous les comptes de votre organisation.
• Au niveau du réseau, limitez l'accès à l'aide de points de terminaison de cloud privé virtuel (VPC), de [restrictions basées sur les adresses IP dans les politiques de compartiment et d’AWS PrivateLink pour S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html). Les points de terminaison de VPC permettent un accès privé à Amazon S3 sans accès à Internet.
• Utilisez les points d'accès S3 pour simplifier la gestion de la sécurité des compartiments auxquels plusieurs applications ou équipes accèdent.
• Implémentez le verrouillage d’objet S3 afin que les utilisateurs ne puissent pas supprimer ou remplacer des objets dans un délai spécifié.

Si vous utilisez des ACL pour sécuriser vos ressources, mettez en œuvre les bonnes pratiques suivantes :

• Vérifiez les autorisations ACL qui permettent à Amazon S3 d’effectuer des actions sur un compartiment ou un objet.
• Limitez l'accès en lecture et en écriture à vos compartiments.
• N'accordez l'accès en lecture au groupe Tout le monde que si vous souhaitez que tout le monde accède au compartiment ou à l'objet.
• N'accordez pas l'accès en écriture au groupe Tout le monde. Toute personne disposant d'un accès en écriture peut ajouter des objets à votre compartiment et AWS vous facture chaque objet chargé. En outre, toute personne disposant d’un accès en écriture peut supprimer des objets du compartiment.
• N'accordez pas l'accès en écriture au groupe Tout utilisateur AWS authentifié, car il inclut toute personne possédant un compte actif. Pour contrôler l'accès des utilisateurs IAM à votre compte, utilisez plutôt une politique IAM. Pour plus d'informations sur la façon dont Amazon S3 évalue les politiques IAM, consultez la section Comment Amazon S3 autorise une requête.
• Pour les nouveaux compartiments, Amazon S3 définit la propriété d’objet S3 sur Propriétaire du compartiment appliqué par défaut. Les ACL sont alors désactivés. Pour conserver un contrôle total sur tous les objets, il est recommandé de désactiver les ACL et d'utiliser des politiques de compartiment et des politiques IAM pour le contrôle d'accès.

Vous pouvez également restreindre l'accès à des actions spécifiques comme suit :

• Pour obliger les utilisateurs à utiliser l'authentification multifactorielle avant de pouvoir supprimer un objet ou désactiver la gestion des versions de compartiment, configurez la suppression MFA.
• Configurez un accès aux API protégé par MFA de sorte que les utilisateurs doivent s'authentifier auprès d'un appareil AWS MFA avant d'appeler certaines opérations d'API Amazon S3.
• Si vous partagez temporairement un objet S3 avec un autre utilisateur, créez une URL présignée pour accorder un accès limité dans le temps à l'objet.

Surveiller vos ressources S3

Pour activer la journalisation et surveiller vos ressources S3, procédez comme suit :

• Activez la journalisation AWS CloudTrail pour les objets d'un compartiment. Par défaut, CloudTrail ne surveille que les actions au niveau du compartiment. Pour surveiller les actions au niveau de l'objet, telles que GetObject, journalisez les événements liés aux données. Pour des exemples d'événements liés aux données, consultez la section Exemples : Journalisation des événements de données pour les objets Amazon S3.
• Activez la journalisation des accès au serveur Amazon S3. Pour plus d'informations sur la procédure de consultation des journaux d'accès au serveur, consultez la section Format du journal d'accès au serveur Amazon S3.
• Utilisez AWS Config pour surveiller les ACL et les politiques de compartiment afin de détecter des violations autorisant l'accès public en lecture ou en écriture. Pour plus d'informations, consultez les sections s3-bucket-public-read-prohibited et s3-bucket-public-write-prohibited.
• Utilisez l’analyseur d’accès AWS IAM pour examiner les politiques de compartiment ou IAM qui autorisent l'accès à vos ressources S3 à partir d'un autre compte.
• Utilisez Amazon Macie pour automatiser l'identification des données sensibles stockées dans vos compartiments, l'accès étendu à vos compartiments et les compartiments non chiffrés de votre compte.
• Utilisez CloudTrail avec d'autres services AWS pour invoquer des processus spécifiques lorsque vous effectuez des actions spécifiques sur vos ressources S3. Par exemple, vous pouvez utiliser Amazon EventBridge pour journaliser les opérations au niveau de l'objet S3.
• Utilisez la vérification des autorisations des compartiments S3 d'AWS Trusted Advisor pour vous informer des compartiments dotés d'autorisations d'accès ouvert. Pour plus d'informations, consultez la référence de vérification d'AWS Trusted Advisor.

Utiliser le chiffrement pour protéger vos données

Si vous avez besoin d'un chiffrement pendant la transmission, utilisez le protocole HTTPS pour chiffrer les données en transit vers et depuis Amazon S3. Tous les kits SDK d’AWS et outils AWS utilisent le protocole HTTPS par défaut.

Remarque : Si vous utilisez des outils tiers pour interagir avec Amazon S3, contactez l’entreprise tierce pour vérifier si ses outils prennent également en charge le protocole HTTPS.

Si vous avez besoin d'un chiffrement pour les données au repos, utilisez les options de chiffrement côté serveur (SSE) Clés gérées Amazon S3 (SSE-S3), Clés AWS Key Management Service (AWS KMS) (SSE-KMS) ou Clés fournies par le client (SSE-C). SSE fournit une couche de protection supplémentaire et des pistes d'audit détaillées via CloudTrail. Vous pouvez spécifier les paramètres SSE lorsque vous écrivez des objets dans le compartiment. Vous pouvez également activer le chiffrement par défaut sur votre compartiment avec SSE-S3 ou SSE-KMS.

Remarque : Amazon S3 active automatiquement SSE-S3 pour tous les nouveaux compartiments.

Si vous avez besoin d'un chiffrement côté client, consultez la section Protection des données à l'aide du chiffrement côté client.

Informations connexes

Gestion des identités et des accès dans Amazon S3

Protection des données dans Amazon S3

Comment demander aux utilisateurs d'autres comptes AWS d'utiliser l'authentification multifactorielle pour accéder à mes compartiments Amazon S3 ?

Comment savoir qui a accédé à mes compartiments et objets Amazon S3 ?