Share Your AWS re:Post Experience - Quick 3 Question Survey
Help us improve AWS re:Post! We're interested in understanding how you use re:Post and its impact on your AWS journey. Please take a moment to complete our brief 3-question survey.
Come faccio a imporre l'uso di TLS 1.2 o di una versione successiva per i miei bucket Amazon S3?
I miei clienti utilizzano versioni TLS precedenti. Quando accedono ai contenuti dei miei bucket Amazon Simple Storage Service (Amazon S3), voglio imporre l'uso di una versione recente di TLS.
Risoluzione
Nota: Amazon S3 richiede la versione TLS 1.2 o successiva ed è l'impostazione predefinita per gli endpoint delle API S3. Per applicare una versione superiore del protocollo di crittografia, come TLS 1.3 o successiva, gli esempi riportati in questo articolo sono ancora validi.
Utilizza una policy delle risorse allegata al tuo bucket per applicare l'uso di TLS 1.2 o di una versione successiva per tutte le connessioni ai tuoi bucket S3.
Per allegare una policy del bucket che richiede TLS 1.2 o una versione successiva, completa i seguenti passaggi:
-
Apri la console Amazon S3.
-
Seleziona il bucket dall'elenco.
-
Scegli la scheda Autorizzazioni.
-
In Policy di bucket, scegli Modifica.
-
Aggiungi una policy per negare l'accesso ai protocolli di crittografia che desideri prevenire. Ad esempio, utilizza la seguente policy per rifiutare tutte le richieste HTTPS che utilizzano versioni TLS precedenti alla 1.2:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceTLSv12orHigher", "Principal": { "AWS": "*" }, "Action": [ "s3:*" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::DOC_EXAMPLE_BUCKET/*", "arn:aws:s3:::DOC_EXAMPLE_BUCKET" ], "Condition": { "NumericLessThan": { "s3:TlsVersion": 1.2 } } } ] }
Questa policy utilizza HTTPS per aumentare la sicurezza dei dati in transito.
Se il tuo carico di lavoro richiede traffico HTTP verso Amazon S3, utilizza la seguente policy. Questa policy consente il traffico HTTP e blocca il traffico HTTPS proveniente da versioni TLS precedenti alla 1.2:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "UpdateTLSv12", "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": "s3:*", "Resource": "arn:aws:s3:::DOC_EXAMPLE_BUCKET/*", "Condition": { "Bool": { "aws:SecureTransport": "true" }, "NumericLessThan": { "s3:TlsVersion": "1.2" } } } ] }
Rivedi i tuoi protocolli di crittografia per S3
Per testare la nuova policy, utilizza il seguente esempio di comando curl per effettuare richieste HTTPS utilizzando uno specifico protocollo legacy:
curl https://${BUCKET_NAME}.s3.us-east-1.amazonaws.com/image.png -v --tlsv1.0 --tls-max 1.0
Poiché Amazon S3 rileva che la tua richiesta non utilizza TLS versione 1.2 o successiva, il comando curl restituisce Access Denied.
Nota: per impostazione predefinita, curl invia una richiesta anonima. Se il tuo bucket è privato, ricevi il messaggio di errore 403 Access Denied per qualsiasi versione di TLS. Quando esegui il test con curl, genera un URL prefirmato di Amazon S3 per accedere ai tuoi oggetti privati.
È consigliabile utilizzare Data Lake AWS CloudTrail per identificare connessioni TLS precedenti agli endpoint dei servizi AWS. È possibile configurare l'archivio dati degli eventi di Data Lake CloudTrail perché registri eventi di gestione o eventi di dati.
Video correlati


Contenuto pertinente
- AWS UFFICIALEAggiornata 2 mesi fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata un anno fa