Al usar AWS re:Post, aceptas las Términos de uso
AWS re:Postre:Post

¿Cómo puedo aplicar el uso de TLS 1.2 o superior para mis buckets de Amazon S3?

3 minutos de lectura
0

Mis clientes usan versiones antiguas de TLS. Quiero aplicar el uso de una versión reciente de TLS cuando accedan al contenido almacenado en mis buckets de Amazon Simple Storage Service (Amazon S3). ¿Cómo puedo aplicar el uso de TLS 1.2 o superior para mis buckets de Amazon S3?

Descripción corta

Se recomienda utilizar protocolos de cifrado modernos para los datos en tránsito. Puede aplicar el uso de TLS 1.2 o superior para las conexiones a Amazon S3 si actualiza la política de seguridad de su bucket.

Nota: Si sus clientes no usan TLS 1.2 o superior, no podrán acceder al contenido almacenado en sus buckets de S3.

Resolución

Puede hacer cumplir el uso de TLS 1.2 o superior para todas las conexiones a sus buckets de S3 mediante una política basada en recursos adjunta a su bucket.

Para configurar una política de buckets que requiera la versión 1.2 o superior de TLS:

  1. Ve a la consola S3.
  2. Seleccione el bucket de la lista.
  3. Navegue a la pestaña Permissions (Permisos).
  4. En Bucket Policy (Política de buckets), seleccione Edit (Editar).
  5. Agregue una política para denegar el acceso a los protocolos de cifrado que desee impedir. Por ejemplo, utilice la siguiente política para denegar todas las solicitudes HTTPS que utilicen versiones de TLS inferiores a la 1.2:
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceTLSv12orHigher",
      "Principal": {
        "AWS": "*"
      },
      "Action": ["s3:*"],
      "Effect": "Deny",
      "Resource": [
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
      ],
      "Condition": {
        "NumericLessThan": {
          "s3:TlsVersion": 1.2
        }
      }
    }
  ]
}

Confirmar que está utilizando protocolos de cifrado modernos para S3

Para probar su nueva política, utilice el siguiente comando curl de ejemplo para realizar solicitudes HTTPS mediante un protocolo heredado específico:

curl https://${BUCKET_NAME}.s3.us-east-1.amazonaws.com/image.png -v --tlsv1.0 --tls-max 1.0

El comando curl de ejemplo devuelve Access Denied (Acceso denegado), ya que Amazon S3 detecta que su solicitud no utiliza TLS 1.2 o superior.

Se recomienda utilizar AWS CloudTrail Lake para identificar conexiones TLS más antiguas a los puntos de conexión de servicio de AWS. Puede configurar el almacén de datos de eventos de CloudTrail Lake para capturar eventos de administración o eventos de datos. El evento de CloudTrail correspondiente en CloudTrail Lake muestra la versión 1.2 de TLS, lo cual confirma que sus clientes utilizan una política de seguridad moderna para conectarse a Amazon S3.

Temas
Almacenamiento
Etiquetas
Amazon Simple Storage Service
Idioma
Español
OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 5 meses

Contenido relevante