New user sign up using AWS Builder ID
New user sign up using AWS Builder ID is currently unavailable on re:Post. To sign up, please use the AWS Management Console instead.
Como posso proteger os arquivos no meu bucket do Amazon S3?
Quero limitar as permissões aos meus recursos do Amazon Simple Storage Service (Amazon S3) e monitorar o acesso a esses recursos.
Breve descrição
Para proteger seus arquivos e buckets do Amazon S3, siga estas melhores práticas:
- Restrinja o acesso aos seus recursos do S3: Restrinja o acesso aos seus recursos às pessoas que realmente precisam deles. Siga o princípio do privilégio mínimo.
- Monitore seus recursos do S3: Monitorar seus recursos. Você pode usar: Logs do AWS CloudTrail, log de acesso ao servidor S3, AWS Config, AWS Identity and Access Management (IAM) Access Analyzer, Amazon Macie, Amazon CloudWatch ou verificação de permissões do bucket S3 do AWS Trusted Advisor.
- **Use criptografia para proteger seus dados:**O Amazon S3 aceita criptografia durante a transmissão, criptografia do lado do servidor (SSE) e criptografia do lado do cliente.
Resolução
Restrinja o acesso aos seus recursos do S3
Por padrão, todos os buckets do S3 são privados e só podem ser acessados por usuários que tenham acesso expresso.
Faça o seguinte para restringir o acesso aos seus buckets ou objetos do S3:
- Crie políticas de usuário do IAM que especificam os usuários que podem acessar buckets e objetos específicos. As políticas do IAM são uma forma programática de gerenciar as permissões do Amazon S3 para vários usuários. Para mais informações sobre como criar e testar políticas de usuário, consulte AWS Policy Generator e simulador de políticas do IAM.
- Crie políticas de bucket que definam o acesso a buckets e objetos específicos. Usar uma política de bucket para conceder acesso a todas as contas da AWS, conceder permissões públicas ou anônimas e permitir ou bloquear o acesso com base em condições. Para informações sobre como criar e testar políticas de bucket, consulte AWS Policy Generator.
**Observação:**você pode usar uma declaração de negação em uma política de bucket para restringir o acesso a usuários específicos do IAM. Você pode restringir o acesso mesmo que os usuários tenham acesso em uma política do IAM. - Usar o Bloqueio de Acesso Público do Amazon S3 como uma forma centralizada de limitar o acesso público. As configurações de bloqueio de acesso público substituem as políticas de bucket e as permissões de objetos. Certifique-se de ativar o bloqueio de acesso público para todas as contas e buckets que você não deseja que sejam acessados publicamente.
- Defina listas de controle de acesso (ACLs) em seus buckets e objetos.
**Observação:**se você precisar de uma forma programática de gerenciar permissões, use políticas do IAM ou políticas de bucket em vez de ACLs. No entanto, você pode usar ACLs quando sua política de bucket exceder o tamanho máximo de 20 KB. Ou você pode usar ACLs para conceder acesso aos logs de acesso ao servidor Amazon S3 ou aos logs do Amazon CloudFront.
Leve em consideração estas práticas recomendadas ao usar ACLs para proteger seus recursos:
- Revise as permissões de ACL que permitem ações do Amazon S3 em um bucket ou objeto. Para ver a lista de permissões de ACL e as ações que elas permitem, consulte Quais permissões posso conceder?
- Seja rigoroso sobre quem tem acesso de leitura e gravação aos seus buckets.
- Avalie cuidadosamente o seu caso de uso antes de conceder acesso de leitura ao grupo Todos, pois isso permite que qualquer pessoa acesse o bucket ou o objeto.
- Nunca conceda acesso de gravação ao grupo Todos. Essa configuração permite que qualquer pessoa adicione objetos ao seu bucket, pelos quais você será cobrado. Essa configuração também permite que qualquer pessoa exclua objetos do bucket.
- Nunca permita acesso de gravação ao grupo Qualquer usuário da AWS autenticado. Esse grupo inclui qualquer pessoa com uma conta ativa da AWS, não apenas usuários do IAM em sua conta. Para controlar o acesso dos usuários do IAM em sua conta, use uma política do IAM em vez disso. Para mais informações sobre como o Amazon S3 avalia as políticas do IAM, consulte Como o Amazon S3 autoriza uma solicitação.
Além de usar políticas, bloqueio de acesso público e ACLs, você também pode restringir o acesso a ações específicas das seguintes maneiras:
- Ative a exclusão com MFA. Isso exige que o usuário se autentique usando um dispositivo de autenticação multifator (MFA) antes de excluir um objeto ou desativar o controle de versão do bucket.
- Configure o acesso à API protegido por MFA. Isso exige que os usuários se autentiquem com um dispositivo AWS MFA antes de chamarem determinadas operações de API do Amazon S3.
- Se você compartilhar temporariamente um objeto do S3 com outro usuário, crie uma URL pré-assinada para conceder-lhe acesso limitado. Para mais informações, consulte Compartilhar objetos usando URLs pré-assinados.
Monitorar seus recursos do S3
Você pode ativar o registro e monitorar seus recursos do S3 das seguintes maneiras:
- Configure os registros do AWS CloudTrail. Por padrão, o CloudTrail rastreia somente ações em nível de bucket. Para rastrear ações em nível de objeto (como GetObject), habilite eventos de dados do Amazon S3.
- Ativar logs de acesso ao servidor do Amazon S3. Para mais informações sobre a análise desses logs, consulte Formato de log de acesso ao servidor Amazon S3.
- Use o AWS Config para monitorar ACLs e políticas de bucket para quaisquer violações que permitam acesso público de leitura ou gravação. Para mais informações, consulte s3-bucket-public-read-prohibited e s3-bucket-public-write-prohibited.
- Use o AWS IAM Access Analyzer para analisar políticas de bucket ou IAM que concedem acesso aos seus recursos do S3 a partir de outra conta da AWS.
- Use o Amazon Macie para automatizar a identificação de dados confidenciais armazenados em seus buckets, amplo acesso aos seus buckets e buckets não criptografados em sua conta.
- Use o CloudTrail com outros serviços, como o CloudWatch ou o AWS Lambda, para invocar processos específicos quando determinadas ações são realizadas em seus recursos do S3. Para mais informações, consulte Log Amazon S3 object-level operations using CloudWatch Events (Registrar operações em nível de objeto do Amazon S3 usando o CloudWatch Events).
- Se você tiver um plano de suporte empresarial, poderá usar a verificação de permissões do bucket S3 do AWS Trusted Advisor. Essa verificação emite uma notificação sobre buckets com permissões de acesso aberto.
Use criptografia para proteger seus dados
Se seu caso de uso exigir criptografia durante a transmissão, use o protocolo HTTPS. Isso criptografa dados em trânsito de e para o Amazon S3. Todas as ferramentas AWS SDK e AWS usam HTTPS por padrão.
Observação: se você usa ferramentas de terceiros para interagir com o Amazon S3, entre em contato com os desenvolvedores para confirmar se suas ferramentas também suportam o protocolo HTTPS.
Se seu caso de uso exigir criptografia de dados em repouso, use criptografia do lado do servidor (SSE). As opções de SSE incluem SSE-S3, SSE-KMS ou SSE-C. Você pode especificar os parâmetros SSE ao gravar objetos no bucket. Você também pode ativar a criptografia padrão em seu bucket com SSE-S3 ou SSE-KMS.
Se seu caso de uso exigir criptografia do lado do cliente, consulte Proteger dados usando criptografia do lado do cliente.
Informações relacionadas
Gerenciamento de identidade e acesso no Amazon S3
Proteção de dados no Amazon S3
Como posso ver quem está acessando meus buckets e objetos do Amazon S3?
Vídeos relacionados


Conteúdo relevante
- feita há 21 diaslg...
- Resposta aceitafeita há um mêslg...
- feita há um mêslg...
- feita há 2 meseslg...
- feita há um mêslg...
- AWS OFICIALAtualizada há 3 anos
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 2 anos