Amazon S3-Sicherheits- und Zugriffsverwaltung

Durch wenige Klicks in der S3-Managementkonsole können Sie S3 Block Public Access auf jedes Bucket in Ihrem Konto (sowohl aktuelle als auch in Zukunft erstellte Buckets) anwenden und sicherstellen, dass kein öffentlicher Zugriff auf Objekte möglich ist. Für alle neuen Buckets ist Block Public Access standardmäßig aktiviert. Um den Zugriff auf alle vorhandenen Buckets in Ihrem Konto einzuschränken, können Sie die Option Öffentlichen Zugriff blockieren auf Kontoebene aktivieren. Die Einstellungen von S3 Block Public Access setzen die S3-Berechtigungen, die den öffentlichen Zugriff gewähren, außer Kraft. Damit ist es für den Konto-Administrator leicht, eine zentrale Steuerung einzurichten, um abweichende Sicherheitskonfigurationen zu verhindern – egal, wie ein Objekt hinzugefügt oder ein Bucket erstellt wird.

Amazon S3 Object Lock blockiert die Objektversionlöschung während eines kundendefinierten Aufbewahrungszeitraums. So können Sie Aufbewahrungsrichtlinien als zusätzliche Datenschutzmaßnahme oder zur Einhaltung gesetzlicher Bestimmungen durchsetzen. Sie können Workloads aus bestehenden WORM-Systemen (Write Once Read Many) in Amazon S3 migrieren und die S3-Objektsperre auf Objekt- und Bucket-Ebenen konfigurieren, sodass Objektversionslöschungen vor den festgelegten Aufbewahrungsdaten oder vor Ablauf einer gesetzlichen Aufbewahrungspflicht verhindert werden.

Amazon S3 Object Ownership deaktiviert Zugriffskontrolllisten (ACLs) und ändert so die Besitzer für alle Objekte in den Bucket-Besitzer und vereinfacht damit die Zugriffsverwaltung für in S3 gespeicherte Daten. Wenn Sie die Einstellung Bucket owner enforced von S3 Object Ownership konfigurieren, haben ACLs keine Auswirkung mehr auf die Berechtigungen für Ihren Bucket und die Objekte darin. Die gesamte Zugriffssteuerung wird mit ressourcenbasierten Richtlinien, Benutzerrichtlinien oder einer Kombination davon definiert. ACLs werden für neue Buckets automatisch deaktiviert. Sie können S3 Inventory verwenden, um die ACLs in Ihren Buckets zu überprüfen, bevor Sie S3 Object Ownership aktivieren, wenn Sie zu IAM-basierten Bucket-Richtlinien migrieren. Weiter Informationen finden Sie unter Steuerung von Object Ownership.

Standardmäßig sind alle Amazon S3-Ressourcen (Buckets, Objekte und zugehörige Unterressourcen) privat: nur der Ressourcenbesitzer, ein AWS-Konto, das er erstellt hat, kann auf die Ressource zugreifen. Amazon S3 bietet Optionen für Zugangsrichtlinien, die grob in ressourcenbasierte Richtlinien und Benutzerrichtlinien eingeteilt werden. Sie können ressourcenbasierte Richtlinien, Benutzerrichtlinien oder eine Kombination dieser Richtlinien verwenden, um die Berechtigungen für Ihre Amazon S3-Ressourcen zu verwalten. Standardmäßig ist ein S3-Objekt im Besitz von dem Konto, das das Objekt erstellt hat, auch wenn dieses Konto ein anderes ist, als der Bucket-Besitzer. Sie können S3 Object Ownership verwenden, um Zugriffskontrolllisten zu deaktivieren, um dieses Verhalten zu ändern. Wenn Sie dies tun, geht jedes Objekt im Bucket in den Besitz des Bucket-Besitzers über. Weitere Informationen finden Sie unter  Identity and Access Management in Amazon S3.

Entdecken und schützen Sie sensible Daten in großem Maßstab in Amazon S3 mit Amazon Macie. Macie liefert Ihnen automatisch eine vollständige Bestandsaufnahme Ihrer S3-Buckets, indem es Buckets scannt, um die Daten zu identifizieren und zu kategorisieren. Sie erhalten verwertbare Sicherheitsergebnisse, die alle Daten aufzählen, die zu diesen sensiblen Datentypen passen, einschließlich personenbezogenen Daten (PII) (z. B. Kundennamen und Kreditkartennummern) und Kategorien, die durch Datenschutzvorschriften wie die GDPR und HIPAA definiert sind. Macie wertet außerdem automatisch und kontinuierlich Präventivkontrollen auf Bucket-Ebene für alle Buckets aus, die unverschlüsselt, öffentlich zugänglich oder mit Konten außerhalb Ihrer Organisation geteilt sind, so dass Sie unbeabsichtigte Einstellungen an Buckets schnell beheben können.

Amazon S3 verschlüsselt automatisch alle Objekt-Uploads in alle Buckets. Für Objekt-Uploads unterstützt Amazon S3 serverseitige Verschlüsselung mit vier Schlüsselverwaltungsoptionen: SSE-S3 (die Basisstufe der Verschlüsselung), SSE-KMS, DSSE-KMS und SSE-C sowie clientseitige Verschlüsselung. Amazon S3 bietet flexible Sicherheitsfunktionen, um unbefugten Benutzern den Zugriff auf Ihre Daten zu verwehren. Sie können mithilfe von VPC-Endpunkten eine Verbindung mit den S3-Ressourcen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) herstellen. Mit dem S3 Inventory können Sie den Verschlüsselungsstatus Ihrer S3-Objekte überprüfen (weitere Informationen zum S3 Inventory finden Sie unter Speicherverwaltung).

Trusted Advisor inspiziert Ihre AWS-Umgebung und spricht dann Empfehlungen aus, wenn sich Möglichkeiten zur Schließung von Sicherheitslücken bieten. 

Trusted Advisor verfügt über die folgenden Amazon-S3-bezogenen Prüfungen: Protokollierung der Konfiguration von Amazon-S3-Buckets, Sicherheitsprüfungen für Amazon-S3-Buckets, die über offene Zugriffsberechtigungen verfügen. Fehlertoleranzprüfungen für Amazon-S3-Buckets, bei denen die Versioning nicht aktiviert ist oder die Versioning ausgesetzt wurde.

Greifen Sie mit AWS PrivateLink für S3 direkt auf Amazon S3 als privaten Endpunkt innerhalb Ihres sicheren, virtuellen Netzwerks zu. Vereinfachen Sie Ihre Netzwerkarchitektur, indem Sie On-Premise oder in der Cloud eine Verbindung zu S3 über private IP-Adressen aus Ihrer Virtual Private Cloud (VPC) herstellen. Sie müssen keine öffentlichen IP-Adressen mehr verwenden, keine Firewall-Regeln konfigurieren oder kein Internet-Gateway konfigurieren, um von On-Premises aus auf S3 zuzugreifen.

Wählen Sie zwischen vier unterstützten Prüfsummenalgorithmen (SHA-1, SHA-256, CRC32 oder CRC32C), um die Datenintegrität bei Ihren Up- und Download-Anfragen zu überprüfen. Berechnen und überprüfen Sie automatisch die Prüfsummen, wenn Sie Daten in Amazon S3 speichern oder abrufen, und rufen Sie die Prüfsummeninformationen jederzeit über die GetObjectAttributes S3 API oder einen S3-Inventarbericht ab.