Como faço para impor o uso do TLS 1.2 ou superior para meus buckets do Amazon S3?

3 minuto de leitura

Meus clientes usam versões antigas do TLS. Quero impor o uso de uma versão recente do TLS quando eles acessam o conteúdo armazenado nos meus buckets do Amazon Simple Storage Service (Amazon S3). Como faço para impor o uso do TLS 1.2 ou superior para meus buckets do Amazon S3?

Breve descrição

É uma prática recomendada usar protocolos de criptografia modernos para dados em trânsito. Você pode impor o uso do TLS 1.2 ou superior para conexões com o Amazon S3 atualizando a política de segurança do seu bucket.

Observação: se os seus clientes não usarem o TLS 1.2 ou superior, eles não poderão acessar o conteúdo armazenado em seus buckets do S3.

Resolução

Você pode impor o uso do TLS 1.2 ou superior para todas as conexões com seus buckets do S3 usando uma política baseada em recursos anexada ao seu bucket.

Para definir uma política de bucket que exija as versões 1.2 ou superiores do TLS:

Acesse o console do S3.
Selecione o bucket na lista.
Navegue até a guia Permissions (Permissões).
Em Bucket Policy (Política de bucket), selecione Edit (Editar).
Adicione uma política para negar o acesso aos protocolos de criptografia que você deseja impedir. Por exemplo, use a política a seguir para negar todas as solicitações HTTPS que usem versões TLS inferiores a 1.2:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceTLSv12orHigher",
      "Principal": {
        "AWS": "*"
      },
      "Action": ["s3:*"],
      "Effect": "Deny",
      "Resource": [
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
      ],
      "Condition": {
        "NumericLessThan": {
          "s3:TlsVersion": 1.2
        }
      }
    }
  ]
}

Confirme se você está usando protocolos de criptografia modernos para o S3

Para testar sua nova política, use o seguinte exemplo de comando curl para fazer solicitações HTTPS usando um protocolo legado específico:

curl https://${BUCKET_NAME}.s3.us-east-1.amazonaws.com/image.png -v --tlsv1.0 --tls-max 1.0

O comando curl de exemplo retorna Access Denied (Acesso negado), pois o Amazon S3 detecta que sua solicitação não está usando TLS 1.2 ou superior.

É uma boa prática usar o AWS CloudTrail Lake para identificar conexões TLS mais antigas com endpoints de serviços da AWS. Você pode configurar o armazenamento de dados de eventos do CloudTrail Lake para capturar eventos de gerenciamento ou eventos de dados. O evento correspondente do CloudTrail no CloudTrail Lake mostra uma versão TLS de 1.2, confirmando que seus clientes usam uma política de segurança moderna para se conectar ao Amazon S3.

Tópicos

Armazenamento

Marcações

Amazon Simple Storage Service

Idioma

Português

AWS OFICIALAtualizada há 5 meses

Conteúdo relevante

Como permito o acesso de clientes que não usam o TLS 1.2 ou superior aos buckets do Amazon S3 ?
AWS OFICIALAtualizada há 5 meses
Como posso utilizar o AWS DataSync para transferir os dados de ou para um local do Amazon S3 entre contas?
AWS OFICIALAtualizada há 3 meses
Como faço para criar um cluster do EMR com criptografia de volume do EBS?
AWS OFICIALAtualizada há 3 meses
Devo usar uma chave gerenciada do AWS KMS ou uma chave do KMS gerenciada pelo cliente para criptografar meus objetos no Amazon S3?
AWS OFICIALAtualizada há 5 meses