Administración de acceso y seguridad de Amazon S3

Con unos clics en la consola de administración de S3, puede aplicar el Bloqueo del acceso público de S3 a cada bucket en su cuenta, tanto en los existentes como en los que cree. De esta forma, se asegura de que no se pueda acceder públicamente a ningún objeto. Todos los buckets nuevos tienen activado el Bloqueo de acceso público de forma predeterminada. Para restringir el acceso a todos los buckets existentes en su cuenta, puede activar el Bloqueo del acceso público a nivel de cuenta. Las configuraciones del Bloqueo del acceso público de S3 anulan los permisos de S3 que permiten el acceso público, lo que le facilita al administrador de la cuenta configurar un control centralizado para evitar variaciones en la configuración de seguridad, independientemente de cómo se agregue un objeto o se cree un bucket.

El bloqueo de objetos de Amazon S3 evita la eliminación de objetos durante un periodo de retención definido por el cliente, para que pueda imponer políticas de retención, como un nivel adicional para la protección de datos o para fines de conformidad normativa. Puede migrar las cargas de trabajo desde sistemas del tipo de escritura única y lectura múltiple (WORM) hacia Amazon S3 y configurar el bloqueo de objetos de S3 en el nivel de objeto y de bucket para evitar la eliminación de una versión del objeto con anterioridad a la fecha que figura en “Retain Until Dates” (Retener hasta) o en “Legal Hold Dates” (Retención legal).

La propiedad del objeto de Amazon S3 desactiva las listas de control de acceso (ACL), lo que cambia la propiedad de todos los objetos al propietario del bucket y simplifica la administración del acceso para los datos almacenados en S3. Cuando define la configuración Bucket owner enforced (Propietario del bucket aplicado) de la propiedad del objeto de S3, las ACL ya no afectarán los permisos de su bucket y los objetos que contiene. Todo el control de acceso se definirá mediante políticas basadas en recursos, políticas de usuario o alguna combinación de estas. Las ACL se desactivan automáticamente para los buckets nuevos. Puede usar S3 Inventory para revisar el uso de las ACL en sus buckets antes de habilitar S3 Object Ownership al migrar a políticas de buckets basadas en IAM. Para más información, consulte Control de la propiedad de los objetos.

De forma predeterminada, todos los recursos de Amazon S3 (buckets, objetos y subrecursos relacionados) son privados: solo el propietario del recurso, la cuenta de AWS con la cual se creó, puede acceder a él. Amazon S3 ofrece opciones de políticas de acceso que se clasifican en términos generales como políticas basadas en recursos y políticas de usuario. Puede elegir utilizar políticas basadas en recursos, políticas de usuario o alguna combinación de estas para administrar los permisos de sus recursos de Amazon S3. De manera predeterminada, un objeto de S3 le pertenece a la cuenta que creó el objeto, lo que incluye cuando esta cuenta es diferente al propietario del bucket. Puede usar la propiedad del objeto de S3 para desactivar listas de control de acceso (ACL) y cambiar este comportamiento. Si lo hace, cada objeto en un bucket le pertenece al propietario del bucket. Para obtener más información, consulte Administración de identidad y acceso en Amazon S3.

Descubra y proteja su información confidencial a escala en Amazon S3 con Amazon Macie. Macie proporciona automáticamente un inventario completo de buckets de S3 mediante el escaneo de buckets para identificar y categorizar los datos. Recibe resultados de seguridad procesables que enumeran cualquier dato que se ajuste a estos tipos de informaciones confidenciales, como la información de identificación personal (PII) (por ejemplo, nombres de clientes y números de tarjetas de crédito) y categorías definidas por las regulaciones de privacidad, como el GDPR y la HIPAA. Macie también evalúa de forma automática y continua los controles preventivos a nivel de bucket para cualquier bucket que no esté cifrado, ya sea de acceso público o que se comparta con cuentas fuera de su organización, lo que permite abordar rápidamente la configuración no deseada de los buckets.

Amazon S3 cifra automáticamente todas las cargas de objetos a todos los buckets. Para las cargas de objetos, Amazon S3 admite el cifrado del lado del servidor con cuatro opciones de administración de claves: SSE-S3 (el nivel básico de cifrado), SSE-KMS, DSSE-KMS y SSE-C, así como el cifrado del cliente. Amazon S3 ofrece características de seguridad flexibles para bloquear el acceso de usuarios no autorizados a sus datos. Utilice los puntos de conexión de VPC para conectarse a los recursos de S3 desde su instancia de Amazon Virtual Private Cloud (Amazon VPC). Utilice S3 Inventory para comprobar el estado de cifrado de sus objetos de S3 (consulte administración del almacenamiento para obtener más información sobre S3 Inventory).

Trusted Advisor inspecciona el entorno de AWS y luego realiza recomendaciones cuando surgen oportunidades para solucionar déficits de seguridad. 

Trusted Advisor tiene las siguientes comprobaciones relacionadas con Amazon S3: configuración de registro de buckets de Amazon S3, comprobaciones de seguridad para buckets de Amazon S3 que tengan permisos de acceso abierto, y comprobaciones de tolerancia a errores para los buckets de Amazon S3 que no tengan el control de versiones habilitado o que lo tengan suspendido.

Obtenga acceso a Amazon S3 de forma directa como un punto de enlace privado dentro de la red virtual segura con AWS PrivateLink para S3. Simplifique la arquitectura de la red al conectarse a S3 desde las instalaciones o en la nube mediante direcciones IP privadas desde Virtual Private Cloud (VPC). Ya no necesita usar IP públicas, configurar las reglas de firewall ni configurar una puerta de enlace de Internet para acceder a S3 de forma local.

Elija entre cuatro algoritmos de suma de comprobación compatibles (SHA-1, SHA-256, CRC32, o CRC32C) para comprobar la integridad de los datos de las solicitudes de carga y descarga. Calcule y verifique automáticamente sumas de comprobación a medida que almacena o recupera datos de Simple Storage Service (Amazon S3) y acceda a la información de la suma de comprobación en cualquier momento usando la nueva API GetObjectAttributes de S3 o el informe de inventario de S3.