Come posso proteggere i file nel mio bucket Amazon S3?

Risoluzione

Prima di tutto, identifica se il tipo di bucket Amazon S3 è generico, directory o tabella. Quindi scegli le misure di sicurezza e i servizi di monitoraggio in linea con il tipo di bucket.

Limita l'accesso alle risorse S3

Per impostazione predefinita, tutti i bucket S3 sono privati. Solo gli utenti a cui concedi esplicitamente le autorizzazioni del bucket possono accedere al bucket.

Limita l'accesso agli oggetti o ai bucket S3 procedendo come segue:

• Utilizza policy basate sull'identità che specificano gli utenti che possono accedere a bucket e oggetti specifici. Per creare e testare le policy dell'utente, utilizza AWS Policy Generator e il simulatore di policy IAM.
• Utilizza policy di bucket che definiscano l'accesso a bucket e oggetti specifici. Puoi utilizzare una policy di bucket per concedere l'accesso a tutti gli account AWS, concedere autorizzazioni pubbliche o anonime e consentire o bloccare l'accesso in base a determinate condizioni.
  Nota: puoi utilizzare un'istruzione Deny in una policy di bucket per limitare l'accesso a specifici utenti AWS Identity and Access Management (AWS IAM) anche quando hai concesso l'accesso agli utenti in una policy IAM.
• Utilizza il Blocco dell'accesso pubblico Amazon S3 come metodo centralizzato per limitare l'accesso pubblico. Le impostazioni del blocco dell'accesso pubblico sovrascrivono le policy dei bucket e le autorizzazioni per gli oggetti. Assicurati di abilitare la funzionalità Blocco dell'accesso pubblico per tutti gli account e i bucket che non desideri siano accessibili al pubblico. Amazon S3 attiva Blocco dell'accesso pubblico per impostazione predefinita per tutti i nuovi account e bucket. Disattiva la funzionalità solo quando richiedi esplicitamente l'accesso pubblico alle risorse S3. Se disattivi Blocco dell'accesso pubblico su un bucket, controlla regolarmente il bucket.
• Imposta liste di controllo degli accessi (ACL) su bucket e oggetti.
  Nota: se devi gestire le autorizzazioni in modo programmatico, utilizza le policy IAM o le policy di bucket anziché le ACL. Puoi però utilizzarle quando la policy di bucket supera la dimensione massima del file di 20 KB. In alternativa, puoi utilizzare le ACL per concedere l'accesso ai log di accesso al server Amazon S3 o ai log di Amazon CloudFront.
• Utilizza le policy di controllo dei servizi (SCP) per gestire e applicare centralmente le policy di sicurezza di S3 in tutti gli account dell'organizzazione.
• A livello di rete, limita l'accesso con endpoint VPC (Virtual Private Cloud), restrizioni basate sull'indirizzo IP nelle policy di bucket e AWS PrivateLink per S3. Gli endpoint VPC consentono l'accesso privato ad Amazon S3 senza accesso a Internet.
• Utilizza i punti di accesso S3 per semplificare la gestione della sicurezza per i bucket a cui accedono più applicazioni o team.
• Implementa S3 Object Lock in modo che gli utenti non possano eliminare o sovrascrivere oggetti entro un arco di tempo specificato.

Se utilizzi le ACL per proteggere le risorse, implementa le seguenti best practice:

• Esamina le autorizzazioni per le ACL che consentono azioni Amazon S3 su un bucket o un oggetto.
• Limita chi ottiene l'accesso in lettura e scrittura ai bucket.
• Concedi l'accesso in lettura al gruppo Tutti solo quando desideri che tutti accedano al bucket o all'oggetto.
• Non concedere l'accesso in scrittura al gruppo Tutti. Chiunque abbia accesso in scrittura può aggiungere oggetti al bucket e AWS ti addebita ogni oggetto caricato. Inoltre, chiunque abbia accesso in scrittura può eliminare oggetti dal bucket.
• Non concedere l'accesso in scrittura al gruppo Any authenticated AWS user (Qualsiasi utente AWS autenticato) perché include chiunque abbia un account attivo. Per controllare l'accesso degli utenti IAM all'account, utilizza invece una policy IAM. Per ulteriori informazioni sul modo in cui Amazon S3 valuta le policy IAM, consulta In che modo Amazon S3 autorizza una richiesta.
• Per impostazione predefinita, nei nuovi bucket, Amazon S3 imposta S3 Object Ownership (Proprietà degli oggetti S3) su Proprietario del bucket applicato. Questa impostazione disattiva le ACL. Per mantenere il pieno controllo su tutti gli oggetti, è consigliabile disattivare le ACL e utilizzare le policy di bucket e le policy IAM per il controllo degli accessi.

Puoi anche limitare l'accesso ad azioni specifiche nei seguenti modi:

• Richiedendo agli utenti di utilizzare l'autenticazione a più fattori per poter eliminare un oggetto o disattivare il controllo delle versioni del bucket, configura l'eliminazione MFA.
• Configurando l'accesso alle API protetto da MFA, che richiede agli utenti di autenticarsi con un dispositivo AWS MFA prima di richiamare determinate operazioni dell'API Amazon S3.
• Se condividi temporaneamente un oggetto S3 con un altro utente, creando un URL prefirmato per concedere un accesso limitato nel tempo all'oggetto.

Monitora le risorse S3

Per attivare la registrazione e monitorare le risorse S3, intraprendi le seguenti azioni:

• Attiva la registrazione di AWS CloudTrail per gli oggetti in un bucket. Per impostazione predefinita, CloudTrail monitora solo le azioni a livello di bucket. Per monitorare le azioni a livello di oggetto, ad esempio GetObject, registra gli eventi di dati. Per esempi di eventi di dati, consulta Esempi: registrazione di eventi di dati per oggetti Amazon S3.
• Attiva la registrazione degli accessi al server Amazon S3. Per informazioni sull'analisi dei log di accesso al server, consulta Formato del log di accesso al server Amazon S3.
• Utilizza AWS Config per monitorare le ACL e le policy di bucket al fine di individuare eventuali violazioni che consentono l'accesso pubblico in lettura o scrittura. Per ulteriori informazioni, consulta s3-bucket-public-read-prohibited e s3-bucket-public-write-prohibited.
• Utilizza lo strumento di analisi degli accessi AWS IAM per esaminare i bucket o le policy IAM che concedono l'accesso alle risorse S3 da un altro account.
• Attiva Amazon Macie per automatizzare l'identificazione dei dati sensibili archiviati nei bucket, dell'accesso ai bucket e dei bucket non crittografati nell'account.
• Utilizza CloudTrail con altri servizi AWS per invocare processi specifici quando intraprendi azioni specifiche sulle risorse S3. Ad esempio, puoi utilizzare Amazon EventBridge per registrare le operazioni a livello di oggetto S3.
• Utilizza il controllo delle autorizzazioni dei bucket S3 di AWS Trusted Advisor per informarti sui bucket con autorizzazioni di accesso aperto. Per ulteriori informazioni, consulta Riferimento ai controlli di AWS Trusted Advisor.

Utilizza la crittografia per proteggere i dati

Se hai bisogno della crittografia durante la trasmissione, utilizza il protocollo HTTPS per crittografare i dati in transito da e verso Amazon S3. Tutti gli strumenti AWS e gli AWS SDK utilizzano HTTPS per impostazione predefinita.

Nota: se utilizzi strumenti di terze parti per interagire con Amazon S3, contatta la società terza per verificare che i suoi strumenti supportino anche il protocollo HTTPS.

Se hai bisogno della crittografia per i dati inattivi, utilizza le opzioni di crittografia lato server (SSE) chiavi gestite da Amazon S3 (SSE-S3), chiavi del Servizio AWS di gestione delle chiavi (AWS KMS) (SSE-KMS) o chiavi fornite dal cliente (SSE-C). SSE fornisce un ulteriore livello di protezione e audit trail dettagliati tramite CloudTrail. Puoi specificare i parametri SSE quando scrivi oggetti nel bucket. Puoi anche attivare la crittografia predefinita sul bucket con SSE-S3 o SSE-KMS.

Nota: Amazon S3 attiva automaticamente SSE-S3 per tutti i nuovi bucket.

Se hai bisogno della crittografia lato client, consulta Protezione dei dati con la crittografia lato client.

Informazioni correlate

Gestione delle identità e degli accessi in Amazon S3

Protezione dei dati in Amazon S3

Come posso richiedere agli utenti di altri account AWS di utilizzare l'autenticazione a più fattori per accedere ai miei bucket Amazon S3?

Come posso vedere chi accede ai miei bucket e oggetti Amazon S3?