Comment puis-je sécuriser les fichiers de mon compartiment Amazon S3 ?

Lecture de 7 minute(s)
0

Je souhaite limiter les autorisations à mes ressources Amazon Simple Storage Service (Amazon S3) et contrôler l'accès à ces ressources.

Brève description

Pour sécuriser vos fichiers et vos compartiments Amazon S3, suivez ces bonnes pratiques :

Résolution

Restreindre l'accès à vos ressources S3

Par défaut, tous les compartiments S3 sont privés et seuls les utilisateurs qui y ont explicitement accès peuvent y accéder.

Procédez comme suit pour restreindre l'accès à vos compartiments ou objets S3 :

  • Rédigez des politiques utilisateur IAM qui spécifient les utilisateurs autorisés à accéder à des compartiments et à des objets spécifiques. Les politiques IAM fournissent un moyen programmatique de gérer les autorisations Amazon S3 pour plusieurs utilisateurs. Pour plus d’informations sur la création et le test de politiques utilisateur, consultez la section Générateur de politique AWS et Simulateur de politiques IAM.
  • Rédigez des politiques relatives aux compartiments qui définissent l’accès à des compartiments et à des objets spécifiques. Utilisez une politique de compartiment pour accorder l’accès à tous les comptes AWS, accorder des autorisations publiques ou anonymes, et autoriser ou bloquer l’accès en fonction de certaines conditions. Pour plus d’informations sur la création et le test de politiques relatives aux compartiments, consultez la section Générateur de politiques AWS.
    Remarque : Vous pouvez utiliser une instruction de refus dans une politique de compartiment pour restreindre l'accès à des utilisateurs IAM spécifiques. Vous pouvez restreindre l’accès même si l’accès est accordé aux utilisateurs dans le cadre d’une politique IAM.
  • Utilisez le Blocage de l’accès public Amazon S3 comme méthode centralisée pour limiter l'accès public. Les paramètres de blocage de l’accès public remplacent les politiques des compartiments et les autorisations des objets. Assurez-vous d’activer l’option Blocage de l’accès public pour tous les comptes et compartiments que vous ne souhaitez pas rendre publics.
  • Configurez la listes de contrôle d'accès (ACL) sur vos compartiments et objets.
    Remarque : Si vous avez besoin d'une méthode programmatique pour gérer les autorisations, utilisez des politiques IAM ou des politiques de compartiment plutôt que des ACL. Toutefois, vous pouvez utiliser des ACL lorsque votre politique de compartiment dépasse la taille de fichier maximale de 20 Ko. Vous pouvez également utiliser des ACL pour accorder l'accès aux journaux d'accès au serveur Amazon S3 ou aux journaux Amazon CloudFront.

Tenez compte des meilleures pratiques suivantes lorsque vous utilisez des ACL pour sécuriser vos ressources :

  • Vérifiez les autorisations ACL qui permettent à Amazon S3 d’effectuer des actions sur un compartiment ou un objet. Pour la liste des autorisations ACL et les actions qu'elles autorisent, consultez la section Quelles autorisations puis-je accorder ?
  • Soyez rigoureux en ce qui concerne les utilisateurs autorisés à accéder à vos compartiments en mode lecture et écriture.
  • Examinez attentivement votre cas d'utilisation avant d'accorder l'accès en mode lecture au groupe Tout le monde, car cela permet à tout le monde d'accéder au compartiment ou à l'objet.
  • N'autorisez jamais l'accès en mode Écriture au groupe Tout le monde. Ce paramètre permet à quiconque d'ajouter des objets à votre compartiment, ce qui vous sera ensuite facturé. Ce paramètre permet également à quiconque de supprimer des objets du compartiment.
  • N’autorisez jamais l’accès en mode Écriture à aucun groupe d’utilisateurs AWS authentifiés. Ce groupe inclut toute personne disposant d'un compte AWS actif, et pas uniquement les utilisateurs IAM de votre compte. Pour contrôler l'accès des utilisateurs IAM à votre compte, utilisez plutôt une politique IAM. Pour plus d'informations sur la façon dont Amazon S3 évalue les politiques IAM, consultez la section Comment Amazon S3 autorise une demande.

Outre l’utilisation de politiques, de blocage de l’accès public et de listes de contrôle d’accès, vous pouvez également restreindre l’accès à des actions spécifiques de la manière suivante :

  • Activez la suppression du MFA. Cela oblige l'utilisateur à s'authentifier à l'aide d'un dispositif d'authentification multifactorielle (MFA) avant de supprimer un objet ou de désactiver la gestion des versions des compartiments.
  • Configurez un accès à l’API protégé par le MFA. Les utilisateurs doivent donc s’authentifier auprès d’un appareil AWS MFA avant d'appeler certaines opérations d’API Amazon S3.
  • Si vous partagez temporairement un objet S3 avec un autre utilisateur, créez une URL présignée pour accorder un accès limité dans le temps à l'objet. Pour plus d'informations, consultez la section Partage d'objets à l'aide d'URL présignées.

Surveillez vos ressources S3

Activez la journalisation et surveiller vos ressources S3 de la manière suivante :

Utilisez le chiffrement pour protéger vos données

Si votre cas d’utilisation nécessite un chiffrement lors de la transmission, utilisez le protocole HTTPS. Cela chiffre les données en transit vers et depuis Amazon S3. Tous les SDK d’AWS et outils AWS utilisent le protocole HTTPS par défaut.

Remarque : Si vous utilisez des outils tiers pour interagir avec Amazon S3, contactez les développeurs pour vérifier si leurs outils prennent également en charge le protocole HTTPS.

Si votre cas d'utilisation nécessite le chiffrement des données au repos, utilisez le chiffrement côté serveur (SSE). Les options SSE incluent SSE-S3, SSE-KMS ou SSE-C. Vous pouvez spécifier les paramètres SSE lorsque vous écrivez des objets dans le compartiment. Vous pouvez également activer le chiffrement par défaut sur votre compartiment avec SSE-S3 ou SSE-KMS.

Si votre cas d'utilisation nécessite un chiffrement côté client, consultez la section Protection des données à l'aide du chiffrement côté client.

Informations connexes

Gestion des identités et des accès dans Amazon S3

Protection des données dans Amazon S3

Comment demander aux utilisateurs d'autres comptes AWS d'utiliser l'authentification multifacteur pour accéder à mes compartiments Amazon S3 ?

Comment puis-je savoir qui a accédé à mes compartiments et à mes objets Amazon S3 ?

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an