Get Hands-on with Amazon EKS - Workshop Event Series

Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!

Wie sichere ich die Dateien in meinem Amazon-S3-Bucket?

Lesedauer: 6 Minute

Ich möchte meinen Amazon-S3-Bucket mit Zugriffsbeschränkungen, Ressourcenüberwachung und Datenverschlüsselung sichern, um meine Dateien zu schützen und bewährte Sicherheitsmethoden einzuhalten.

Lösung

Stelle zunächst fest, ob es sich bei deinem Amazon-S3-Bucket-Typ um einen Allzweck-, Verzeichnis- oder Tabellentyp handelt. Wähle dann die Sicherheitsmaßnahmen und Überwachungs-Services aus, die dem Bucket-Typ entsprechen.

Den Zugriff auf S3-Ressourcen beschränken

Standardmäßig sind alle S3-Buckets privat. Nur die Benutzer, denen du explizit Bucket-Berechtigungen gewährst, können auf den Bucket zugreifen.

Gehe wie folgt vor, um den Zugriff auf die S3-Buckets oder -Objekte einzuschränken:

Verwende identitätsbasierte Richtlinien, die jene Benutzer angeben, die auf bestimmte Buckets und Objekte zugreifen können. Verwende den AWS-Richtliniengenerator und den IAM-Richtliniensimulator, um Benutzerrichtlinien zu erstellen und zu testen.
Verwende Bucket-Richtlinien, die den Zugriff auf bestimmte Buckets und Objekte definieren. Verwende eine Bucket-Richtlinie, um Zugriff auf alle AWS-Konten zu gewähren, öffentliche oder anonyme Berechtigungen zu erteilen und den Zugriff je nach Bedingungen zuzulassen oder zu blockieren.
Hinweis: Du kannst eine Zugriffsverweigerungs-Anweisung in einer Bucket-Richtlinie verwenden, um den Zugriff auf bestimmte AWS Identity and Access Management (IAM)-Benutzer einzuschränken, auch wenn du den Benutzern in einer IAM-Richtlinie Zugriff gewährt hast.
Verwende Amazon S3 Block Public Access als zentrale Methode, um den öffentlichen Zugriff einzuschränken. Die Einstellungen zur Sperrung des öffentlichen Zugriffs haben Vorrang vor Bucket-Richtlinien und Objekt-Berechtigungen. Stelle sicher, dass du die Option „Öffentlichen Zugriff blockieren“ für alle Konten und Buckets aktivierst, die nicht öffentlich zugänglich sein sollen. Amazon S3 aktiviert standardmäßig „Öffentlichen Zugriff blockieren“ für alle neuen Konten und Buckets. Deaktiviere die Funktion nur, wenn du ausdrücklich öffentlichen Zugriff auf deine S3-Ressourcen beantragst. Wenn du „Öffentlichen Zugriff blockieren“ für einen Bucket deaktivierst, prüfe den Bucket regelmäßig.
Richte Zugriffssteuerungslisten (ACLs) für deine Buckets und Objekte ein.
Hinweis: Wenn du Berechtigungen programmgesteuert verwalten musst, verwende IAM-Richtlinien oder Bucket-Richtlinien anstelle von ACLs. Du kannst ACLs jedoch verwenden, wenn deine Bucket-Richtlinie die maximale Dateigröße von 20 KB überschreitet. Du kannst aber auch ACLs verwenden, um Zugriff auf Amazon-S3-Serverzugriffsprotokolle oder Amazon-CloudFront-Protokolle zu gewähren.
Verwende Service-Kontrollrichtlinien (SCPs), um die S3-Sicherheitsrichtlinien für alle Konten in deiner Organisation zentral zu verwalten und durchzusetzen.
Beschränke den Zugriff auf Netzwerkebene mit Virtual Private Cloud (VPC)-Endpunkten, IP-adressbasierten Einschränkungen in Bucket-Richtlinien und AWS PrivateLink für S3. VPC-Endpunkte ermöglichen den privaten Zugriff auf Amazon S3 ohne Internetzugang.
Verwende S3-Zugriffspunkte, um die Sicherheitsverwaltung für Buckets zu vereinfachen, auf die mehrere Anwendungen oder Teams zugreifen.
Implementiere S3-Object Lock, damit Benutzer innerhalb eines bestimmten Zeitrahmens keine Objekte löschen oder überschreiben können.

Wenn du ACLs verwendest, um deine Ressourcen zu sichern, implementiere die folgenden bewährten Methoden:

Überprüfe die ACL-Berechtigungen, die Amazon-S3-Aktionen für einen Bucket oder ein Objekt zulassen.
Schränke ein, wer Lese- und Schreib- Zugriff auf deine Buckets erhält.
Gewähre der Gruppe Alle nur dann Lese-Zugriff, wenn du möchtest, dass jeder auf den Bucket oder das Objekt zugreifen kann.
Gewähre der Gruppe Alle keinen Schreib-Zugriff. Jeder, der Schreib-Zugriff hat, kann Objekte zum Bucket hinzufügen, und AWS berechnet dir für jedes hochgeladene Objekt eine Gebühr. Außerdem kann jeder mit Schreib-Zugriff Objekte im Bucket löschen.
Gewähre der Gruppe Any authenticated AWS user (Alle authentifizierten AWS-Benutzer) keinen Schreib-Zugriff, da diese alle Personen mit einem aktiven Konto umfasst. Verwende stattdessen eine IAM-Richtlinie, um den Zugriff für IAM-Benutzer auf dein Konto zu kontrollieren. Weitere Informationen darüber, wie Amazon S3 IAM-Richtlinien bewertet, findest du unter So autorisiert Amazon S3 eine Anforderung.
Bei neuen Buckets setzt Amazon S3 Object Ownership (S3-Objekteigentum) standardmäßig auf Bucket-Eigentümer erzwungen. Dadurch werden ACLs deaktiviert. Um die volle Kontrolle über alle Objekte zu behalten, empfiehlt es sich, ACLs zu deaktivieren und Bucket-Richtlinien und IAM-Richtlinien für die Zugriffskontrolle zu verwenden.

Du kannst den Zugriff auf bestimmte Aktionen auch auf folgende Weise einschränken:

Damit Benutzer die Multi-Faktor-Authentifizierung verwenden müssen, bevor sie ein Objekt löschen oder die Bucket-Versionsverwaltung deaktivieren können, konfiguriere „MFA löschen“.
Richte den MFA-geschützten API-Zugriff so ein, dass sich Benutzer bei einem AWS-MFA-Gerät authentifizieren müssen, bevor sie bestimmte Amazon-S3-API-Operationen aufrufen.
Wenn du ein S3-Objekt vorübergehend für eine(n) andere(n) Benutzer:in freigeben möchtest, erstelle eine vorsignierte URL, um zeitlich begrenzten Zugriff auf das Objekt zu gewähren.

Deine S3-Ressourcen überwachen

Gehe wie folgt vor, um die Protokollierung zu aktivieren und S3-Ressourcen zu überwachen:

Aktiviere die AWS-CloudTrail-Protokollierung für Objekte in einem Bucket. Standardmäßig überwacht CloudTrail nur Aktionen auf Bucket-Ebene. Um Aktionen auf Objektebene wie GetObject zu überwachen, protokolliere Datenereignisse. Beispiele für Datenereignisse findest du unter Beispiele: Protokollierung von Datenereignissen für Amazon-S3-Objekte.
Aktiviere die Amazon-S3-Serverzugriffsprotokollierung. Informationen zur Überprüfung von Serverzugriffsprotokollen findest du unter Format der Amazon-S3-Serverzugriffsprotokolle.
Verwende AWS Config, um Bucket-ACLs und Bucket-Richtlinien auf Verstöße zu überwachen, die öffentlichen Lese- oder Schreibzugriff ermöglichen. Weitere Informationen findest du unter s3-bucket-public-read-prohibited und s3-bucket-public-write-prohibited.
Verwende IAM Access Analyzer, um Bucket- oder IAM-Richtlinien zu überprüfen, die den Zugriff auf S3-Ressourcen von einem anderen Konto aus gewähren.
Aktiviere Amazon Macie, um die Identifizierung sensibler Daten, die in den Buckets gespeichert sind, den umfassenden Zugriff auf die Buckets und unverschlüsselte Buckets im Konto zu automatisieren.
Verwende CloudTrail zusammen mit anderen AWS-Services, um bestimmte Prozesse aufzurufen, wenn du bestimmte Aktionen auf deinen S3-Ressourcen ausführen. Beispielsweise kannst du Amazon EventBridge verwenden, um Operationen auf S3-Objektebene zu protokollieren.
Verwende die S3-Bucket-Berechtigungsüberprüfung von AWS Trusted Advisor, damit du über Buckets mit Berechtigungen für offenen Zugriff informiert wirst. Weitere Informationen findest du in der Überprüfungsreferenz von AWS Trusted Advisor.

Verwendung der Verschlüsselung, um deine Daten zu schützen

Wenn du während der Übertragung eine Verschlüsselung verlangst, verwende das HTTPS-Protokoll, um Daten während der Übertragung zu und von Amazon S3 zu verschlüsseln. Alle AWS-SDKs und AWS-Tools nutzen standardmäßig HTTPS.

Hinweis: Wenn du Tools von Drittanbietern verwendest, um mit Amazon S3 zu interagieren, wende dich an das Drittunternehmen, um dich zu vergewissern, dass dessen Tools auch das HTTPS-Protokoll unterstützen.

Wenn du eine Verschlüsselung für Daten im Ruhezustand benötigst, verwende die Optionen der serverseitigen Verschlüsselung: von Amazon S3 verwaltete Schlüssel (SSE-S3), AWS Key Management Service (AWS KMS)-Schlüssel (SSE-KMS) oder vom Kunden bereitgestellte Schlüssel (SSE-C). SSE bietet eine zusätzliche Schutzebene und detaillierte Audit Trails über CloudTrail. Du kannst die SSE-Parameter definieren, wenn du Objekte in den Bucket schreibst. Du kannst auch die Standardverschlüsselung in deinem Bucket mit SSE-S3 oder SSE-KMS aktivieren.

Hinweis: Amazon S3 aktiviert SSE-S3 automatisch für alle neuen Buckets.

Wenn du eine clientseitige Verschlüsselung benötigst, findest du weitere Informationen unter Daten mit clientseitiger Verschlüsselung schützen.