Comment puis-je sécuriser les fichiers de mon compartiment Amazon S3 ?
Je souhaite limiter les autorisations à mes ressources Amazon Simple Storage Service (Amazon S3) et contrôler l'accès à ces ressources.
Brève description
Pour vous assurer que vos fichiers et vos compartiments Amazon S3 sont sécurisés, suivez les bonnes pratiques suivantes :
- **Restreignez l'accès à vos ressources S3 :**Lorsque vous utilisez AWS, limitez l'accès à vos ressources aux personnes qui en ont absolument besoin. Respectez le principe du moindre privilège.
- Surveillez vos ressources S3 : Surveillez vos ressources à l'aide des journaux AWS CloudTrail, de la journalisation des accès au serveur S3, d'AWS Config, de l'analyseur d'accès AWS Identity and Access Management (IAM), d'Amazon Macie, d'Amazon CloudWatch ou de la vérification des autorisations des compartiments S3 d'AWS Trusted Advisor.
- Utilisez le chiffrement pour protéger vos données : Amazon S3 prend en charge le chiffrement lors de la transmission, le chiffrement côté serveur (SSE) et le chiffrement côté client.
Résolution
Restreindre l'accès à vos ressources S3
Par défaut, tous les compartiments S3 sont privés et seuls les utilisateurs qui y ont explicitement accès peuvent y accéder.
Restreignez l'accès à vos compartiments ou objets S3 en procédant comme suit :
- Rédaction de politiques utilisateur IAM qui spécifient les utilisateurs autorisés à accéder à des compartiments et à des objets spécifiques. Les politiques IAM fournissent un moyen programmatique de gérer les autorisations Amazon S3 pour plusieurs utilisateurs. Pour plus d'informations sur la création et le test de politiques utilisateur, consultez la section Générateur de politique AWS et Simulateur de politiques IAM.
- Rédaction de politiques relatives aux compartiments qui définissent l'accès à des compartiments et à des objets spécifiques. Vous pouvez utiliser une politique de compartiment pour accorder l'accès à tous les comptes AWS, accorder des autorisations publiques ou anonymes, et autoriser ou bloquer l'accès en fonction de certaines conditions. Pour plus d'informations sur la création et le test de politiques relatives aux compartiments, consultez la section Générateur de politiques AWS.
Remarque : Vous pouvez utiliser une instruction de refus dans une politique de compartiment pour restreindre l'accès à des utilisateurs IAM spécifiques. Vous pouvez restreindre l'accès même si l'accès est accordé aux utilisateurs dans le cadre d'une politique IAM. - Utiliser le Blocage de l’accès public Amazon S3 comme méthode centralisée pour limiter l'accès public. Les paramètres de blocage de l'accès public remplacent les politiques des compartiments et les autorisations des objets. Assurez-vous d'activer l'option Blocage de l'accès public pour tous les comptes et compartiments que vous ne souhaitez pas rendre publics.
- Configuration de listes de contrôle d'accès (ACL) sur vos compartiments et objets.
Remarque : Si vous avez besoin d'une méthode programmatique pour gérer les autorisations, utilisez des politiques IAM ou des politiques de compartiment plutôt que des ACL. Toutefois, vous pouvez utiliser des ACL lorsque votre politique de compartiment dépasse la taille de fichier maximale de 20 Ko. Vous pouvez également utiliser des ACL pour accorder l'accès aux journaux d'accès au serveur Amazon S3 ou aux journaux Amazon CloudFront.
Tenez compte des meilleures pratiques suivantes lorsque vous utilisez des ACL pour sécuriser vos ressources :
- Assurez-vous de vérifier les autorisations ACL qui permettent à Amazon S3 d’effectuer des actions sur un compartiment ou un objet. Pour la liste des autorisations ACL et les actions qu'elles autorisent, consultez la section Quelles autorisations puis-je accorder ?
- Soyez rigoureux en ce qui concerne les utilisateurs autorisés à accéder à vos compartiments en mode lecture et écriture.
- Examinez attentivement votre cas d'utilisation avant d'accorder l'accès en mode lecture au groupe Tout le monde, car cela permet à tout le monde d'accéder au compartiment ou à l'objet.
- N'autorisez jamais l'accès en mode Écriture au groupe Tout le monde. Ce paramètre permet à quiconque d'ajouter des objets à votre compartiment, ce qui vous sera ensuite facturé. Ce paramètre permet également à quiconque de supprimer des objets du compartiment.
- N'autorisez jamais l'accès en mode Écriture à aucun groupe d'utilisateurs AWS authentifiés. Ce groupe inclut toute personne disposant d'un compte AWS actif, et pas uniquement les utilisateurs IAM de votre compte. Pour contrôler l'accès des utilisateurs IAM à votre compte, utilisez plutôt une politique IAM. Pour plus d'informations sur la façon dont Amazon S3 évalue les politiques IAM, consultez la section Comment Amazon S3 autorise une demande.
Outre l'utilisation de politiques, de blocage de l'accès public et de listes de contrôle d'accès, vous pouvez également restreindre l'accès à des actions spécifiques de la manière suivante :
- Activez la suppression MFA, qui oblige l'utilisateur à s'authentifier à l'aide d'un dispositif d'authentification multifactorielle (MFA) avant de supprimer un objet ou de désactiver la gestion des versions des compartiments.
- Configurez un accès aux API protégé par MFA, qui exige que les utilisateurs s'authentifient auprès d'un appareil AWS MFA avant d'appeler certaines opérations d'API Amazon S3.
- Si vous partagez temporairement un objet S3 avec un autre utilisateur, créez une URL présignée pour accorder un accès limité dans le temps à l'objet. Pour plus d'informations, consultez la section Partage d'objets à l'aide d'URL présignées.
Surveillez vos ressources S3
Vous pouvez activer la journalisation et surveiller vos ressources S3 de la manière suivante :
- Configurez les journaux AWS CloudTrail. Par défaut, CloudTrail ne suit que les actions au niveau du compartiment. Pour suivre les actions au niveau de l'objet (telles que GetObject), activez les événements de données Amazon S3.
- Activez la journalisation des accès au serveur Amazon S3. Pour plus d'informations sur la consultation de ces journaux, consultez la section Format du journal d'accès au serveur Amazon S3.
- Utilisez AWS Config pour surveiller les ACL et les politiques relatives aux compartiments afin de détecter toute violation autorisant l'accès public en lecture ou en écriture. Pour plus d'informations, consultez s3-bucket-public-read-prohibited et s3-bucket-public-write-prohibited.
- Utilisez l’analyseur d’accès AWS IAM pour vous aider à passer en revue les politiques relatives aux compartiments ou aux IAM qui autorisent l'accès à vos ressources S3 à partir d'un autre compte AWS.
- Utilisez Amazon Macie pour automatiser l'identification des données sensibles stockées dans vos compartiments, l'accès étendu à vos compartiments et les compartiments non chiffrés de votre compte.
- Utilisez CloudTrail avec d'autres services, tels que CloudWatch ou AWS Lambda, pour invoquer des processus spécifiques lorsque certaines actions sont effectuées sur vos ressources S3. Pour plus d'informations, consultez la section Journaliser les opérations au niveau de l'objet Amazon S3 à l'aide de CloudWatch Events.
- Si vous disposez d'un plan de support professionnel ou d'un plan de support d'entreprise, vous pouvez utiliser la vérification des autorisations des compartiments S3 d'AWS Trusted Advisor. Cette vérification vous informe des compartiments dotés d'autorisations d'accès ouvert.
Remarque : Cette vérification par Trusted Advisor ne permet pas de détecter les politiques de compartiment qui remplacent les ACL des compartiments.
Utilisez le chiffrement pour protéger vos données
Si votre cas d'utilisation nécessite un chiffrement lors de la transmission, Amazon S3 prend en charge le protocole HTTPS, qui chiffre les données en transit vers et depuis Amazon S3. Tous les SDK d’AWS et outils AWS utilisent le protocole HTTPS par défaut.
Remarque : Si vous utilisez des outils tiers pour interagir avec Amazon S3, contactez les développeurs pour vérifier si leurs outils prennent également en charge le protocole HTTPS.
Si votre cas d'utilisation nécessite le chiffrement des données au repos, Amazon S3 propose le chiffrement côté serveur (SSE). Les options SSE incluent SSE-S3, SSE-KMS ou SSE-C. Vous pouvez spécifier les paramètres SSE lorsque vous écrivez des objets dans le compartiment. Vous pouvez également activer le chiffrement par défaut sur votre compartiment avec SSE-S3 ou SSE-KMS.
Si votre cas d'utilisation nécessite un chiffrement côté client, consultez la section Protection des données à l'aide du chiffrement côté client.
Informations connexes
Gestion des identités et des accès dans Amazon S3
Protection des données dans Amazon S3
Comment puis-je savoir qui a accédé à mes compartiments et à mes objets Amazon S3 ?
Contenus pertinents
- demandé il y a 3 mois
- demandé il y a un an
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a 3 ans
- AWS OFFICIELA mis à jour il y a 8 mois