Usando AWS re:Post, accetti Termini di utilizzo
AWS re:Postre:Post

Come posso imporre l'uso di TLS 1.2 o versione successiva per i miei bucket Amazon S3?

2 minuti di lettura
0

I miei clienti utilizzano vecchie versioni di TLS. Desidero imporre l'uso di una versione TLS recente quando accedono ai contenuti archiviati nei miei bucket Amazon Simple Storage Service (Amazon S3). Come posso imporre l'uso di TLS 1.2 o versione successiva per i miei bucket Amazon S3?

Breve descrizione

È consigliabile utilizzare i moderni protocolli di crittografia per i dati in transito. Puoi imporre l'uso di TLS 1.2 o versioni successive per le connessioni ad Amazon S3 aggiornando la policy di sicurezza del bucket.

Nota: se i tuoi clienti non utilizzano TLS 1.2 o versione successiva, non potranno accedere ai contenuti archiviati nei tuoi bucket S3.

Risoluzione

Puoi imporre l'utilizzo di TLS 1.2 o versione successiva per tutte le connessioni ai tuoi bucket S3 utilizzando una policy basata sulle risorse allegata al bucket.

Per impostare una policy del bucket che richieda le versioni TLS 1.2 o successive:

  1. Vai alla console S3.
  2. Seleziona il bucket dall'elenco.
  3. Vai alla scheda Permissions (Autorizzazioni).
  4. In Bucket Policy (Policy del bucket), seleziona Edit (Modifica).
  5. Aggiungi una policy per negare l'accesso ai protocolli di crittografia che desideri impedire. Ad esempio, per negare tutte le richieste HTTPS che utilizzano versioni TLS inferiori alla 1.2 utilizza la policy seguente:
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceTLSv12orHigher",
      "Principal": {
        "AWS": "*"
      },
      "Action": ["s3:*"],
      "Effect": "Deny",
      "Resource": [
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
      ],
      "Condition": {
        "NumericLessThan": {
          "s3:TlsVersion": 1.2
        }
      }
    }
  ]
}

Conferma di utilizzo dei moderni protocolli di crittografia per S3

Per testare la tua nuova policy, usa il seguente comando curl di esempio per effettuare richieste HTTPS utilizzando uno specifico protocollo legacy:

curl https://${BUCKET_NAME}.s3.us-east-1.amazonaws.com/image.png -v --tlsv1.0 --tls-max 1.0

Se Amazon S3 rileva che la tua richiesta non utilizza TLS 1.2 o versioni successive, il comando curl di esempio restituisce Access Denied (Accesso negato).

È consigliabile utilizzare Data Lake AWS CloudTrail per identificare le connessioni TLS più vecchie agli endpoint dei servizi AWS. Puoi configurare l'archivio dati degli eventi di Lake CloudTrail per acquisire eventi di gestione o eventi relativi ai dati. L'evento CloudTrail corrispondente in Lake CloudTrail mostra una versione TLS pari a 1.2, a conferma che i tuoi clienti utilizzano una policy di sicurezza moderna per connettersi ad Amazon S3.

Argomenti
Archiviazione
Tag
Amazon Simple Storage Service
Lingua
Italiano
AWS UFFICIALE
AWS UFFICIALEAggiornata 5 mesi fa

Contenuto pertinente