Capacidades inigualables de seguridad, conformidad y auditoría

Almacene los datos en Amazon S3 y protéjalos frente al acceso no autorizado con características de cifrado y herramientas de administración de acceso. S3 es el único servicio de almacenamiento de objetos que le permite bloquear el acceso público a todos sus objetos a nivel de bucket o cuenta con S3 Block Public Access. S3 mantiene programas de conformidad, como PCI-DSS, HIPAA/HITECH, FedRAMP, la Directiva de Protección de Datos de la UE y FISMA, para ayudarle a cumplir los requisitos normativos. AWS también es compatible con un gran número de capacidades de auditoría que permiten supervisar las solicitudes de acceso a los recursos de S3.

Managing Amazon S3 Security at Scale (34:56)

Administración de acceso y seguridad de Amazon S3

Para proteger sus datos en Amazon S3, de forma predeterminada, los usuarios solo tienen acceso a los recursos de S3 que ellos mismos crean. Para conceder acceso a otros usuarios, utilice una de las siguientes características de administración de acceso o una combinación de ellas: AWS Identity and Access Management (IAM), para crear usuarios y administrar su correspondiente acceso; Listas de control de acceso (ACL), para conceder acceso a objetos individuales a los usuarios autorizados; políticas de bucket, a fin de configurar permisos para todos los objetos de un único bucket de S3; y, por último, la autenticación por cadena de consulta, para conceder acceso a otros usuarios por tiempo limitado con direcciones URL temporales. Amazon S3 también admite los registros de auditoría, que enumeran las solicitudes realizadas a sus recursos de S3 para obtener total visibilidad de quién obtiene acceso a los distintos datos.

Bloqueo de acceso público

Block Public Access

Con unos clics en la consola de administración de S3, puede aplicar S3 Block Public Access a cada bucket en su cuenta, tanto en los existentes como en los que cree. De esta forma, se asegura de que no se pueda acceder públicamente a ningún objeto. Las configuraciones de S3 Block Public Access anulan los permisos de S3 que permiten el acceso público, lo que le facilita al administrador de la cuenta configurar un control centralizado para evitar variaciones en la configuración de seguridad, independientemente de cómo se agregue un objeto o se cree un bucket.

Bloqueo de objetos

Bloqueo de objetos

El bloqueo de objetos de Amazon S3 evita la eliminación de objetos durante un periodo de retención definido por el cliente, para que pueda imponer políticas de retención, como un nivel adicional para la protección de datos o para fines de conformidad normativa. Puede migrar las cargas de trabajo desde sistemas del tipo de escritura única y lectura múltiple (WORM) hacia Amazon S3 y configurar el bloqueo de objetos de S3 en el nivel de objeto y de bucket para evitar la eliminación de una versión del objeto con anterioridad a la fecha que figura en “Retain Until Dates” (Retener hasta) o en “Legal Hold Dates” (Retención legal).

Propiedad del objeto

Propiedad del objeto

La propiedad del objeto de Amazon S3 desactiva las listas de control de acceso (ACL), lo que cambia la propiedad de todos los objetos al propietario del bucket y simplifica la administración del acceso para los datos almacenados en S3. Cuando define la configuración Bucket owner enforced (Propietario del bucket aplicado) de la propiedad del objeto de S3, las ACL ya no afectarán los permisos de su bucket y los objetos que contiene. Todo el control de acceso se definirá mediante políticas basadas en recursos, políticas de usuario o alguna combinación de estas. Para más información, consulte Control de propiedad del objeto.

Identity and Access Management

Identity and Access Management

De forma predeterminada, todos los recursos de Amazon S3 (buckets, objetos y subrecursos relacionados) son privados: solo el propietario del recurso, la cuenta de AWS con la cual se creó, puede acceder a él. Amazon S3 ofrece opciones de políticas de acceso que se clasifican en términos generales como políticas basadas en recursos y políticas de usuario. Puede elegir utilizar políticas basadas en recursos, políticas de usuario o alguna combinación de estas para administrar los permisos de sus recursos de Amazon S3. De manera predeterminada, un objeto de S3 le pertenece a la cuenta que creó el objeto, lo que incluye cuando esta cuenta es diferente al propietario del bucket. Puede usar la propiedad del objeto de S3 para desactivar listas de control de acceso (ACL) y cambiar este comportamiento. Si lo hace, cada objeto en un bucket le pertenece al propietario del bucket. Para obtener más información, consulte Administración de identidad y acceso en Amazon S3.

Amazon Macie

Amazon Macie

Descubra y proteja su información confidencial a escala en Amazon S3 con Amazon Macie. Macie proporciona automáticamente un inventario completo de buckets de S3 mediante el escaneo de buckets para identificar y categorizar los datos. Recibe resultados de seguridad procesables que enumeran cualquier dato que se ajuste a estos tipos de informaciones confidenciales, como la información de identificación personal (PII) (por ejemplo, nombres de clientes y números de tarjetas de crédito) y categorías definidas por las regulaciones de privacidad, como el GDPR y la HIPAA. Macie también evalúa de forma automática y continua los controles preventivos a nivel de bucket para cualquier bucket que no esté cifrado, ya sea de acceso público o que se comparta con cuentas fuera de su organización, lo que permite abordar rápidamente la configuración no deseada de los buckets.

Cifrado

Cifrado

Amazon S3 admite el cifrado tanto del lado de servidor (con tres opciones de administración clave: SSE-KMS, SSE-C, SSE-S3) como del lado de cliente para cargas de datos. Amazon S3 ofrece características de seguridad flexibles para bloquear el acceso de usuarios no autorizados a sus datos. Utilice los puntos de enlace de la VPC para conectarse a los recursos de S3 desde su instancia de Amazon Virtual Private Cloud (Amazon VPC). Utilice S3 Inventory para comprobar el estado de cifrado de sus objetos de S3 (consulte el apartado sobre administración del almacenamiento para obtener más información sobre S3 Inventory).

AWS Trusted Advisor

AWS Trusted Advisor

Trusted Advisor inspecciona el entorno de AWS y luego realiza recomendaciones cuando surgen oportunidades para solucionar déficits de seguridad. 

Trusted Advisor tiene las siguientes comprobaciones relacionadas con Amazon S3: configuración de registro de buckets de Amazon S3, comprobaciones de seguridad para buckets de Amazon S3 que tengan permisos de acceso abierto, y comprobaciones de tolerancia a errores para los buckets de Amazon S3 que no tengan el control de versiones habilitado o que lo tengan suspendido.

AWS PrivateLink para S3

Obtenga acceso a Amazon S3 de forma directa como un punto de enlace privado dentro de la red virtual segura con AWS PrivateLink para S3. Simplifique la arquitectura de la red al conectarse a S3 desde las instalaciones o en la nube mediante direcciones IP privadas desde Virtual Private Cloud (VPC). Ya no necesita usar IP públicas, configurar las reglas de firewall ni configurar una puerta de enlace de Internet para acceder a S3 de forma local.

Verificar la integridad de los datos

Verificar la integridad de los datos

Elija entre cuatro algoritmos de suma de comprobación compatibles (SHA-1, SHA-256, CRC32, o CRC32C) para comprobar la integridad de los datos de las solicitudes de carga y descarga. Calcule y verifique automáticamente sumas de comprobación a medida que almacena o recupera datos de Simple Storage Service (Amazon S3) y acceda a la información de la suma de comprobación en cualquier momento usando la nueva API GetObjectAttributes de S3 o el informe de inventario de S3.

Funcionamiento

  • AWS PrivateLink para Amazon S3
  • Amazon Macie
  • Bloqueo de acceso público a S3
  • Amazon GuardDuty para S3
  • AWS PrivateLink para Amazon S3
  • Establezca una conexión privada directa desde las instalaciones a Amazon S3. Para comenzar, lea la documentación sobre AWS PrivateLink para S3

    Seguridad con AWS PrivateLink para S3
  • Amazon Macie
  • Descubra y proteja los datos confidenciales a escala. Para comenzar a utilizar Amazon Macie, visite el sitio web.

    Seguridad con Amazon Macie
  • Bloqueo de acceso público a S3
  • Bloquee todo el acceso público a Amazon S3 ahora y a futuro. Para obtener más información acerca del bloqueo de acceso público a S3, visite la página web.

    Seguridad con el bloqueo de acceso público a S3
  • Amazon GuardDuty para S3
  • Proteja los datos de Amazon S3 con la detección de amenazas inteligente y el monitoreo constante. Para obtener más información acerca de Amazon GuardDuty para Amazon S3, visite la página web.

    Seguridad con Amazon GuardDuty para S3

Prácticas recomendadas y tutoriales de administración de acceso y seguridad

Todos los recursos de S3, cuando se crean y de forma predeterminada, son privados y solo el propietario del recurso o el administrador de la cuenta pueden acceder a ellos. Este diseño de seguridad le permite configurar políticas sofisticadas de acceso que estén en línea con los requisitos organizativos, de gobernanza, seguridad y conformidad. Puede utilizar S3 Block Public Access para restringir todos los pedidos de acceso a sus datos. S3 también le permite elegir entre distintas opciones de cifrado. Para obtener más información, vea los siguientes videos.

Amazon S3 security and access management best practices (28:08)

Opciones de cifrado de S3

S3 encryption options (1:22)

Guía para desarrolladores: uso del cifrado para proteger los datos »
(con información para las opciones del lado del servidor y del cliente)

Blogs de seguridad de S3

Blog de novedades de AWS


Amazon Macie ahora con precios reducidos notablemente

Amazon Macie es un servicio completamente administrado que lo ayuda a descubrir y proteger sus datos confidenciales, mediante el aprendizaje automático para detectar y clasificar datos automáticamente por usted. Ahora con precios simplificados: se le cobra según la cantidad de buckets de S3 que se evalúen y de datos procesados para trabajos de descubrimiento de datos confidenciales. 

Lea el blog »

Blog de novedades de AWS


S3 Block Public Access - Protección para cuentas y buckets

Amazon S3 Block Public Access brinda un nuevo nivel de protección que funciona a nivel de cuenta y también en los buckets individuales, incluidos los que cree en el futuro. Usted puede bloquear el acceso público actual (ya sea que haya sido especificado por una ACL o una política) y asegurar que no se otorgue el acceso público a elementos recientemente creados.

Lea el blog »

Blog de Werner Vogels


Proporcionar seguridad a escala con razonamiento automatizado

Zelkova utiliza la característica de Amazon S3 Block Public Access. Block Public Access desactiva las listas de control de acceso público (ACLs) en buckets y objetos en Amazon S3. También impide las políticas de buckets que permitirían el acceso público. Para las políticas existentes que permiten el acceso público, la característica no permite el acceso desde afuera de la cuenta del bucket.

Lea el blog »

Blog de AWS sobre almacenamiento


Amazon S3 Block Public Access y Bloqueo de objetos de S3

Uno de los motivos por los que S3 ha tenido tanto éxito es porque desde el principio nos enfocamos en la seguridad de los datos. Continuamente invertimos para elevar los estándares en materia de seguridad para el almacenamiento y trabajamos con los clientes para satisfacer las necesidades de seguridad cada vez mayores y al mismo tiempo mantenernos fieles a nuestra misión de hacer que el almacenamientos sea sencillo.

Lea el blog »
Standard Product Icons (Features) Squid Ink
Más información sobre Amazon S3

Conozca las características de Amazon S3.

Más información 
Sign up for a free account
Regístrese para obtener una cuenta gratuita

Obtenga acceso instantáneo al nivel gratuito de AWS. 

Registrarse 
Standard Product Icons (Start Building) Squid Ink
Comience a crear en la consola

Comience a crear con Amazon S3 en la consola de administración de AWS.

Iniciar sesión