Herausragende Sicherheits-, Compliance- und Prüffunktionen

Speichern Sie Ihre Daten in Amazon S3 und schützen Sie sie mit Verschlüsselungsfunktionen und Tools für die Zugriffsverwaltung vor unbefugtem Zugriff. S3 bietet mit S3 Block Public Accessals einziger Objektspeicherservice die Möglichkeit, den öffentlichen Zugriff auf all Ihre Objekte auf Bucket- oder Kontoebene zu blockieren. S3 unterstützt Compliance-Programme wie PCI-DSS, HIPAA/HITECH, FedRAMP, die EU-Datenschutzrichtlinie und FISMA, damit Sie Ihre gesetzlichen Vorgaben einhalten können. AWS unterstützt darüber hinaus zahlreiche Prüffunktionen, um Zugriffsanforderungen für Ihre S3-Ressourcen zu überwachen.

Verwaltung der skalierbaren Amazon-S3-Sicherheit (34:56)

Amazon S3-Sicherheits- und Zugriffsverwaltung

Zum Schutz Ihrer Daten in Amazon S3 haben Benutzer standardmäßig nur Zugriff auf die von ihnen erstellten S3-Ressourcen. Mit einer der folgenden Funktionen zur Zugriffsverwaltung oder einer Kombination aus diesen Funktionen können Sie anderen Benutzern Zugriff gewähren: AWS Identity and Access Management (IAM) zur Erstellung von Benutzern und Verwaltung ihrer entsprechenden Zugriffsberechtigungen; Zugriffskontrolllisten (ACLs, Access Control Lists), um autorisierten Benutzern den Zugriff auf einzelne Objekte zu ermöglichen; Bucket-Richtlinien zur Konfiguration von Berechtigungen für alle Objekte innerhalb eines S3-Buckets und Abfrage-String-Authentifizierung zur Gewährung von zeitlich begrenztem Zugriff mit temporären URLs. Amazon S3 unterstützt ebenfalls Prüfprotokolle, die an Ihre S3-Ressourcen gestellte Anforderungen auflisten und so umfassende Transparenz darüber bieten, wer auf welche Daten zugreift.

Block Public Access

Block Public Access

Durch wenige Klicks in der S3-Managementkonsole können Sie S3 Block Public Access auf jedes Bucket in Ihrem Konto (sowohl aktuelle als auch in Zukunft erstellte Buckets) anwenden und sicherstellen, dass kein öffentlicher Zugriff auf Objekte möglich ist. Die Einstellungen von S3 Block Public Access setzen die S3-Berechtigungen, die den öffentlichen Zugriff gewähren, außer Kraft. Damit ist es für den Konto-Administrator leicht, eine zentrale Steuerung einzurichten, um abweichende Sicherheitskonfigurationen zu verhindern – egal, wie ein Objekt hinzugefügt oder ein Bucket erstellt wird.

Object Lock

Object Lock

Amazon S3 Object Lock blockiert die Objektversionlöschung während eines kundendefinierten Aufbewahrungszeitraums. So können Sie Aufbewahrungsrichtlinien als zusätzliche Datenschutzmaßnahme oder zur Einhaltung gesetzlicher Bestimmungen durchsetzen. Sie können Workloads aus bestehenden WORM-Systemen (Write Once Read Many) in Amazon S3 migrieren und die S3-Objektsperre auf Objekt- und Bucket-Ebenen konfigurieren, sodass Objektversionslöschungen vor den festgelegten Aufbewahrungsdaten oder vor Ablauf einer gesetzlichen Aufbewahrungspflicht verhindert werden.

Object Ownership

Object Ownership

Amazon S3 Object Ownership deaktiviert Zugriffskontrolllisten (ACLs) und ändert so die Besitzer für alle Objekte in den Bucket-Besitzer und vereinfacht damit die Zugriffsverwaltung für in S3 gespeicherte Daten. Wenn Sie die Einstellung Bucket owner enforced von S3 Object Ownership konfigurieren, haben ACLs keine Auswirkung mehr auf die Berechtigungen für Ihren Bucket und die Objekte darin. Die gesamte Zugriffssteuerung wird mit ressourcenbasierten Richtlinien, Benutzerrichtlinien oder einer Kombination davon definiert. Weiter Informationen finden Sie unter Steuerung des Object Ownership.

Identity and Access Management

Identity and Access Management

Standardmäßig sind alle Amazon S3-Ressourcen (Buckets, Objekte und zugehörige Unterressourcen) privat: nur der Ressourcenbesitzer, ein AWS-Konto, das er erstellt hat, kann auf die Ressource zugreifen. Amazon S3 bietet Optionen für Zugangsrichtlinien, die grob in ressourcenbasierte Richtlinien und Benutzerrichtlinien eingeteilt werden. Sie können ressourcenbasierte Richtlinien, Benutzerrichtlinien oder eine Kombination dieser Richtlinien verwenden, um die Berechtigungen für Ihre Amazon S3-Ressourcen zu verwalten. Standardmäßig ist ein S3-Objekt im Besitz von dem Konto, das das Objekt erstellt hat, auch wenn dieses Konto ein anderes ist, als der Bucket-Besitzer. Sie können S3 Object Ownership verwenden, um Zugriffskontrolllisten zu deaktivieren, um dieses Verhalten zu ändern. Wenn Sie dies tun, geht jedes Objekt im Bucket in den Besitz des Bucket-Besitzers über. Weitere Informationen finden Sie unter  Identity and Access Management in Amazon S3.

Amazon Macie

Amazon Macie

Entdecken und schützen Sie sensible Daten in großem Maßstab in Amazon S3 mit Amazon Macie. Macie liefert Ihnen automatisch eine vollständige Bestandsaufnahme Ihrer S3-Buckets, indem es Buckets scannt, um die Daten zu identifizieren und zu kategorisieren. Sie erhalten verwertbare Sicherheitsergebnisse, die alle Daten aufzählen, die zu diesen sensiblen Datentypen passen, einschließlich personenbezogenen Daten (PII) (z. B. Kundennamen und Kreditkartennummern) und Kategorien, die durch Datenschutzvorschriften wie die GDPR und HIPAA definiert sind. Macie wertet außerdem automatisch und kontinuierlich Präventivkontrollen auf Bucket-Ebene für alle Buckets aus, die unverschlüsselt, öffentlich zugänglich oder mit Konten außerhalb Ihrer Organisation geteilt sind, so dass Sie unbeabsichtigte Einstellungen an Buckets schnell beheben können.

Verschlüsselung

Verschlüsselung

Amazon S3 unterstützt sowohl die serverseitige Verschlüsselung (mit drei Schlüsselverwaltungsoptionen: SSE-KMS, SSE-C, SSE-S3) als auch die clientseitige Verschlüsselung für Daten-Uploads. Amazon S3 bietet flexible Sicherheitsfunktionen, um den Datenzugriff für nicht autorisierte Benutzer zu blockieren. Sie können mithilfe von VPC-Endpunkten eine Verbindung mit den S3-Ressourcen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) herstellen. Mit dem S3 Inventory können Sie den Verschlüsselungsstatus Ihrer S3-Objekte überprüfen (weitere Informationen zum S3 Inventory finden Sie unter Speicherverwaltung).

AWS Trusted Advisor

AWS Trusted Advisor

Trusted Advisor inspiziert Ihre AWS-Umgebung und spricht dann Empfehlungen aus, wenn sich Möglichkeiten zur Schließung von Sicherheitslücken bieten. 

Trusted Advisor verfügt über die folgenden Amazon-S3-bezogenen Prüfungen: Protokollierung der Konfiguration von Amazon-S3-Buckets, Sicherheitsprüfungen für Amazon-S3-Buckets, die über offene Zugriffsberechtigungen verfügen. Fehlertoleranzprüfungen für Amazon-S3-Buckets, bei denen die Versioning nicht aktiviert ist oder die Versioning ausgesetzt wurde.

AWS PrivateLink für S3

Greifen Sie mit AWS PrivateLink für S3 direkt auf Amazon S3 als privaten Endpunkt innerhalb Ihres sicheren, virtuellen Netzwerks zu. Vereinfachen Sie Ihre Netzwerkarchitektur, indem Sie On-Premise oder in der Cloud eine Verbindung zu S3 über private IP-Adressen aus Ihrer Virtual Private Cloud (VPC) herstellen. Sie müssen keine öffentlichen IP-Adressen mehr verwenden, keine Firewall-Regeln konfigurieren oder kein Internet-Gateway konfigurieren, um von On-Premises aus auf S3 zuzugreifen.

Verifizieren der Datenintegrität

Verifizieren der Datenintegrität

Wählen Sie zwischen vier unterstützten Prüfsummenalgorithmen (SHA-1, SHA-256, CRC32 oder CRC32C), um die Datenintegrität bei Ihren Up- und Download-Anfragen zu überprüfen. Berechnen und überprüfen Sie automatisch die Prüfsummen, wenn Sie Daten in Amazon S3 speichern oder abrufen, und rufen Sie die Prüfsummeninformationen jederzeit über die GetObjectAttributes S3 API oder einen S3-Inventarbericht ab.

Funktionsweise

  • AWS PrivateLink für Amazon S3
  • Stellen Sie eine direkte private Verbindung von On-Premise zu Amazon S3 her. Um zu beginnen, lesen Sie die Dokumentation von AWS PrivateLink für S3

    Sicherheit mit AWS PrivateLink für S3
  • Amazon Macie
  • Erkennen und schützen Sie Ihre vertraulichen Daten beliebigen Umfangs. Um mit Amazon Macie zu beginnen, besuchen Sie die Website.

    Sicherheit mit Amazon Macie
  • Sperrung des öffentlichen S3-Zugangs
  • Sperren Sie den gesamten öffentlichen Zugriff auf Amazon S3 jetzt und für die Zukunft. Um mehr über die Sperrung des öffentlichen S3-Zugangs zu erfahren, besuchen Sie die Webseite.

    Sicherheit bei der Sperrung des öffentlichen S3-Zugangs
  • Amazon GuardDuty für S3
  • Schützen Sie Ihre Amazon-S3-Daten mit intelligenter Bedrohungserkennung und kontinuierlicher Überwachung. Weitere Informationen zu Amazon GuardDuty für Amazon S3 finden Sie auf der Webseite.

    Sicherheit mit Amazon GuardDuty für S3

Bewährte Verfahren und Anleitungen für die Sicherheits- und Zugriffsverwaltung

Alle S3-Ressourcen sind standardmäßig und nach der Erstellung privat und können nur vom Ressourcenbesitzer oder Kontoadministrator aufgerufen werden. Dieses Sicherheitsdesign ermöglicht Ihnen die Konfiguration fein abgestimmter Zugriffsrichtlinien, die auf die Anforderungen von Organisation, Verwaltung, Sicherheit und Compliance abgestimmt sind. Sie können S3 Block Public Access verwenden, um alle Zugriffsanfragen auf Ihre Daten einzuschränken. Mit S3 können Sie auch zwischen verschiedenen Verschlüsselungsoptionen wählen. Sehen Sie sich die Videos unten an, um mehr zu erfahren.

Bewährte Verfahren für die Amazon-S3-Sicherheits- und Zugriffsverwaltung (28:08)

Zugriffsverwaltung und Sicherheit

Einführung in die S3-Zugriffsverwaltung und -sicherheit (1:43)

Richtlinien für den S3-Zugriff konfigurieren

Konfiguration der Zugriffsverwaltungsrichtlinien (6:28)

S3-Verschlüsselungsoptionen

S3-Verschlüsselungsoptionen (1:22)

Entwicklerhandbuch: Datenschutz durch Verschlüsselung »
(mit Details zu serverseitigen und kundenseitigen Optionen)

S3-Sicherheitsblogs

AWS News Blog


Amazon Macie jetzt zu erheblich reduzierten Preisen

Amazon Macie ist ein vollständig verwalteter Service, der Ihnen hilft, Ihre sensiblen Daten zu entdecken und zu schützen, indem er Machine Learning nutzt, um Daten automatisch zu erkennen und zu klassifizieren. Jetzt mit vereinfachten Preisen: Sie werden jetzt auf der Grundlage der Anzahl der ausgewerteten S3-Buckets und der verarbeiteten Datenmenge für Aufträge zur Ermittlung sensibler Daten berechnet. 

Den Blog lesen »

AWS News Blog


S3 Block Public Access: Schutz für Konten und Buckets

Amazon S3 Block Public Access bietet eine neue Schutzebene auf Kontoebene soowie für individuelle Buckets, einschließlich solcher, die Sie in Zukunft erstellen. Sie können den bestehenden öffentlichen Zugang sperren (egal, ob dieser durch eine ACL oder Richtlinie definiert wurde) und sicherstellen, dass kein öffentlicher Zugang für neu erstellte Objekte gewährt wird.

Den Blog lesen »

Werner Vogels‘ Blog


Skalierbare Sicherheit mit automatisierten Schlussfolgerungen bereitstellen

Zelka treibt die Funktin Amazon S3 Block Public Access an. Block Public Access deaktiviert öfentliche Zugriffskontrolllisten (ACLs) auf Buckets und Objekten in Amazon S3. Ebenfalls verhindert es Bucket-Richtlinien, die den öffentlichen Zugang ermöglichen würden. Bei bestehenden Richtlinien, die den öffentlichen Zugang gestatten, sperrt die Funktion den Zugang von außerhalb des Kontos.

Den Blog lesen »

AWS Storage Blog


Amazon S3 Block Public Access und S3 Object Lock

Einer der Gründe für den Erfolg von S3 ist unser Schwerpunkt auf Datensicherheit, den wir direkt von Beginn an in Angriff nahmen. Wir investieren kontinuierlich in ein neues Sicherheitsniveau für Speicher und arbeiten mit Kunden zusammen, um immer anspruchsvollere Sicherheitsbedürfnisse zu erfüllen und gleichzeitig unsere Philosophie, Speicher einfach zu halten, nicht aus den Augen zu verlieren.

Blog lesen »
Weitere Informationen zu Amazon S3

Weitere Informationen zu Amazon-S3-Funktionen.

Weitere Informationen 
Für ein kostenloses Konto registrieren

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Beginnen Sie mit der Entwicklung in der Konsole

Beginnen Sie mit dem Erstellen mit Amazon S3 in der AWS-Managementkonsole.

Anmeldung