Come faccio a imporre l'uso di TLS 1.2 o di una versione successiva per i miei bucket Amazon S3?

3 minuti di lettura
0

I miei clienti utilizzano versioni TLS precedenti. Quando accedono ai contenuti dei miei bucket Amazon Simple Storage Service (Amazon S3), voglio imporre l'uso di una versione recente di TLS.

Breve descrizione

È consigliabile utilizzare protocolli di crittografia moderni per i dati in transito. Per imporre l'uso di TLS 1.2 o di una versione successiva per le connessioni ad Amazon S3, aggiorna la policy di sicurezza del tuo bucket.

Nota: I clienti devono utilizzare la versione TLS 1.2 o una versione successiva per accedere ai contenuti archiviati nei tuoi bucket S3.

Per ulteriori informazioni sull'obsolescenza delle versioni di TLS per AWS, consulta TLS 1.2 per il livello minimo del protocollo TLS per tutti gli endpoint delle API AWS.

Risoluzione

Usa una policy basata sulle risorse allegata al tuo bucket per applicare l'uso di TLS 1.2 o di una versione successiva per tutte le connessioni ai tuoi bucket S3.

Per allegare una policy del bucket che richiede TLS 1.2 o una versione successiva, completa i seguenti passaggi:

  1. Apri la console Amazon S3.

  2. Seleziona il bucket dall'elenco.

  3. Scegli la scheda Autorizzazioni.

  4. In Policy di bucket, scegli Modifica.

  5. Aggiungi una policy per negare l'accesso ai protocolli di crittografia che desideri prevenire. Ad esempio, utilizza la seguente policy per rifiutare tutte le richieste HTTPS che utilizzano versioni TLS precedenti alla 1.2:

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Sid": "EnforceTLSv12orHigher",
          "Principal": {
            "AWS": "*"
          },
          "Action": [
            "s3:*"
          ],
          "Effect": "Deny",
          "Resource": [
            "arn:aws:s3:::DOC_EXAMPLE_BUCKET/*",
            "arn:aws:s3:::DOC_EXAMPLE_BUCKET"
          ],
          "Condition": {
            "NumericLessThan": {
              "s3:TlsVersion": 1.2
            }
          }
        }
      ]
    }

    Questa policy utilizza HTTPS per aumentare la sicurezza dei dati in transito.

    Se il tuo carico di lavoro richiede traffico HTTP verso Amazon S3, utilizza la seguente policy. Questa policy consente il traffico HTTP e blocca il traffico HTTPS proveniente da versioni TLS precedenti alla 1.2:

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Sid": "UpdateTLSv12",
          "Effect": "Deny",
          "Principal": {
            "AWS": "*"
          },
          "Action": "s3:*",
          "Resource": "arn:aws:s3:::DOC_EXAMPLE_BUCKET/*",
          "Condition": {
            "Bool": {
              "aws:SecureTransport": "true"
            },
            "NumericLessThan": {
              "s3:TlsVersion": "1.2"
            }
          }
        }
      ]
    }

Verifica di utilizzare protocolli di crittografia moderni per S3

Per testare la nuova policy, utilizza il seguente esempio di comando curl per effettuare richieste HTTPS utilizzando uno specifico protocollo legacy:

curl https://${BUCKET\_NAME}.s3.us-east-1.amazonaws.com/image.png -v --tlsv1.0 --tls-max 1.0

L'esempio di comando curl dà come risultato Accesso negato perché Amazon S3 rileva che la tua richiesta non utilizza TLS 1.2 o una versione successiva.

Nota: Da impostazione predefinita, curl invia una richiesta anonima. Se il tuo bucket è privato, ricevi il messaggio di errore 403 Accesso negato per qualsiasi versione di TLS. Quando esegui il test con curl, genera un URL prefirmato di Amazon S3 per accedere ai tuoi oggetti privati.

È consigliabile utilizzare Data Lake AWS CloudTrail per identificare connessioni TLS precedenti agli endpoint dei servizi AWS. È possibile configurare l'archivio dati degli eventi di Data Lake CloudTrail perché registri eventi di gestione o eventi di dati.

AWS UFFICIALE
AWS UFFICIALEAggiornata un anno fa