AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Como proteger os arquivos no meu bucket do Amazon S3?

7 minuto de leitura

Quero proteger meu bucket do Amazon S3 com restrições de acesso, monitoramento de recursos e criptografia de dados para proteger meus arquivos e atender às práticas recomendadas de segurança.

Resolução

Primeiro, identifique se o tipo de bucket do Amazon S3 é de uso geral, diretório ou tabela. Em seguida, escolha as medidas de segurança e os serviços de monitoramento que se alinham ao seu tipo de bucket.

Restrinja o acesso aos seus recursos do S3

Por padrão, todos os buckets do S3 são privados. Somente os usuários aos quais você concede explicitamente permissões de bucket podem acessar o bucket.

Para restringir o acesso aos seus buckets ou objetos do S3, execute as seguintes ações:

Use políticas baseadas em identidade que especifiquem os usuários que podem acessar buckets e objetos específicos. Para criar e testar políticas de usuário, use o AWS Policy Generator e o simulador de políticas do IAM.
Use políticas de bucket que definam o acesso a buckets e objetos específicos. Usar uma política de bucket para conceder acesso a todas as contas da AWS, conceder permissões públicas ou anônimas e permitir ou bloquear o acesso com base em condições.
Observação: é possível usar uma declaração Deny em uma política de bucket para restringir o acesso a usuários específicos do AWS Identity and Access Management (AWS IAM), mesmo que tenha concedido acesso aos usuários em uma política do IAM.
Usar o Bloqueio de Acesso Público do Amazon S3 como uma forma centralizada de limitar o acesso público. As configurações de bloqueio de acesso público substituem as políticas de bucket e as permissões de objetos. Certifique-se de ativar o bloqueio de acesso público para todas as contas e buckets que você não deseja que sejam acessados publicamente. O Amazon S3 ativa o Bloqueio de Acesso Público por padrão para todas as novas contas e buckets. Desative o atributo somente quando você exigir explicitamente o acesso público aos seus recursos do S3. Se você desativar o Bloqueio de Acesso Público em um bucket, audite regularmente o bucket.
Defina listas de controle de acesso (ACLs) em seus buckets e objetos.
Observação: se você precisar gerenciar permissões de forma programática, use políticas do IAM ou políticas de bucket em vez de ACLs. No entanto, é possível usar ACLs quando sua política de bucket exceder o tamanho máximo de 20 KB. Ou é possível usar ACLs para conceder acesso aos logs de acesso ao servidor Amazon S3 ou aos logs do Amazon CloudFront.
Use políticas de controle de serviços (SCPs) para gerenciar e aplicar centralmente as políticas de segurança do S3 em todas as contas da sua organização.
No nível de rede, restrinja o acesso com endpoints de nuvem privada virtual (VPC), restrições baseadas em endereço IP em políticas de bucket e AWS PrivateLink para S3. Os endpoints de VPC permitem acesso privado ao Amazon S3 sem acesso à Internet.
Use os pontos de acesso S3 para simplificar o gerenciamento de segurança de buckets que várias aplicações ou equipes acessam.
Implemente o Bloqueio de Objetos do S3 para que os usuários não possam excluir ou substituir objetos dentro de um período especificado.

Se você usa ACLs para proteger seus recursos, implemente as seguintes práticas recomendadas:

Consulte as permissões de ACL que permitem ações do Amazon S3 em um bucket ou objeto.
Restrinja quem tem acesso de Leitura e Gravação aos seus buckets.
Conceda acesso de Leitura ao grupo Todos somente quando quiser que todos acessem o bucket ou objeto.
Não conceda acesso de Gravação ao grupo Todos. Qualquer pessoa que tenha acesso de Gravação pode adicionar objetos ao seu bucket, e a AWS cobra por cada objeto carregado. Além disso, qualquer pessoa com acesso de Gravação pode excluir objetos no bucket.
Não conceda acesso de Gravação ao grupo Qualquer usuário autenticado da AWS, pois ele inclui qualquer pessoa com uma conta ativa. Para controlar o acesso dos usuários do IAM em sua conta, use uma política do IAM em vez disso. Para mais informações sobre como o Amazon S3 avalia as políticas do IAM, consulte Como o Amazon S3 autoriza uma solicitação.
Para novos buckets, o Amazon S3 define a Propriedade de objetos do S3 como Proprietário do bucket aplicado por padrão. Isso desativa as ACLs. Para manter o controle total sobre todos os objetos, é uma prática recomendada desativar as ACLs e usar políticas de bucket e políticas de IAM para controle de acesso.

Também é possível restringir o acesso a ações específicas das seguintes formas:

Para exigir que os usuários usem a autenticação multifator antes de excluírem um objeto ou desativarem o versionamento do bucket, configure a exclusão da MFA.
Configure o acesso à API protegido por MFA para que os usuários se autentiquem com um dispositivo AWS MFA antes de chamarem determinadas operações de API do Amazon S3.
Se você compartilhar temporariamente um objeto do S3 com outro usuário, crie uma URL pré-assinada para conceder-lhe acesso limitado.

Monitorar seus recursos do S3

Para ativar o registro em log e monitorar seus recursos do S3, execute as seguintes ações:

Ative o registro em log do AWS CloudTrail para objetos em um bucket. Por padrão, o CloudTrail monitora somente ações em nível de bucket. Para monitorar ações em nível de objeto, como GetObject, registre eventos de dados em log. Para ver exemplos de eventos de dados, consulte Examples: Logging data events for Amazon S3 objects (Exemplos: registro de eventos de dados para objetos do Amazon S3).
Ativar logs de acesso ao servidor do Amazon S3. Para obter mais informações sobre como consultar os logs de acesso ao servidor, consulte Formato dos logs de acesso ao servidor do Amazon S3.
Use o AWS Config para monitorar ACLs e políticas de bucket para quaisquer violações que permitam acesso público de leitura ou gravação. Para mais informações, consulte s3-bucket-public-read-prohibited e s3-bucket-public-write-prohibited.
Use o IAM Access Analyzer para analisar políticas de bucket ou IAM que concedem acesso aos seus recursos do S3 a partir de outra conta.
Ative o Amazon Macie para automatizar a identificação de dados sensíveis armazenados em seus buckets, amplo acesso aos seus buckets e buckets não criptografados em sua conta.
Use o CloudTrail com outros serviços da AWS para invocar processos específicos ao realizar ações específicas em seus recursos do S3. Por exemplo, é possível usar o Amazon EventBridge para registrar operações em nível de objeto do S3.
Use a verificação de permissões de bucket do S3 do AWS Trusted Advisor para receber notificações sobre buckets com permissões de acesso aberto. Para mais informações, consulte a referência de verificação do AWS Trusted Advisor.

Use criptografia para proteger seus dados

Se você precisar de criptografia durante a transmissão, use o protocolo HTTPS para criptografar dados em trânsito de e para o Amazon S3. Todas as ferramentas AWS SDK e AWS usam HTTPS por padrão.

Observação: se você usa ferramentas de terceiros para interagir com o Amazon S3, entre em contato com a empresa terceirizada para confirmar se suas ferramentas também são compatíveis com o protocolo HTTPS.

Se precisar de criptografia para dados em repouso, use as opções de criptografia do lado do servidor (SSE): chaves gerenciadas do Amazon S3 (SSE-S3), chaves do AWS Key Management Service (AWS KMS) (SSE-KMS) ou chaves fornecidas pelo cliente (SSE-C). O SSE fornece uma camada adicional de proteção e trilhas de auditoria detalhadas por meio do CloudTrail. É possível especificar os parâmetros SSE ao gravar objetos no bucket. Também é possível ativar a criptografia padrão em seu bucket com SSE-S3 ou SSE-KMS.

Observação: o Amazon S3 ativa automaticamente o SSE-S3 para todos os novos buckets.

Se precisar de criptografia do lado do cliente, consulte Proteger dados usando a criptografia do lado do cliente.

Informações relacionadas

Gerenciamento de identidade e acesso no Amazon S3

Proteção de dados no Amazon S3

Como exijo que usuários de outras contas da AWS usem o MFA para acessar meus buckets do Amazon S3?

Como posso ver quem acessou meus buckets e objetos do Amazon S3?

Tópicos: Storage
Tags: Amazon Simple Storage Service
Idioma: Português

Vídeos relacionados

Assista ao vídeo de Harrison para saber mais (14:26)

AWS OFICIALAtualizada há 5 meses

Sem comentários

Conteúdo relevante

GTA San andreas v2.11.277 (media) - Problema de acesso e corrupção de arquivo no S3 Bucket
tankaracutankme
feita há 2 meses
Stardew Valley APK (Mobile Android) Problema de acesso público e CORS no bucket S3
entrenamne
feita há 2 meses
Erro em restauração de banco do S3 para o RDS SQL Server entre contas - "Access Denied" em Restore Cross-Account
Resposta aceita
Rafael Pinheiro
feita há 4 meses
Free Fire Canibais Mobile (Game Android) - Problema com acesso a assets no S3 via CloudFront
chanegefrrt
feita há 2 meses
Poppy Playtime Chapter 4 Mobile (Game Android) - Problema de implantação no S3 e CloudFront
mainerrti
feita há 2 meses
Por que estou recebendo uma mensagem de erro de acesso negado quando faço upload de arquivos para o meu bucket do Amazon S3 que tem a criptografia padrão do AWS KMS?
AWS OFICIALAtualizada há 4 anos
Por que não consigo acessar uma pasta ou arquivo específico no meu bucket do Amazon S3?
AWS OFICIALAtualizada há 2 anos
Por que usuários de várias contas recebem erros de acesso negado ("Access Denied") quando acessam meus objetos do Amazon S3 que eu criptografei com uma chave gerenciada pelo cliente do AWS KMS?
AWS OFICIALAtualizada há 4 meses
Por que não consigo visualizar logs de cluster do Amazon EMR em um bucket S3 que apresenta uma política anexa que impõe a criptografia SSE-KMS?
AWS OFICIALAtualizada há 5 anos
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 6 meses