Fonctionnalités de sécurité, de conformité et d'audit sans précédent
Stockez vos données dans Amazon S3, et protégez-les contre tout accès non autorisé avec des fonctions de chiffrement et des outils de gestion des accès. S3 chiffre tous les téléchargements d’objets vers tous les compartiments. S3 est le seul service de stockage d’objets qui vous permet de bloquer l’accès public à tous vos objets au niveau du compartiment ou du compte avec S3 Block Public Access. S3 gère des programmes de conformité, tels que PCI-DSS, HIPAA/HITECH, FedRAMP, la Directive des données de l'UE et FISMA pour vous aider à respecter la réglementation. AWS prend également en charge de nombreuses fonctionnalités d'audit en vue de surveiller les demandes d'accès à vos ressources S3.
Gestion de la sécurité et des accès dans Amazon S3
Par défaut, afin de protéger les données stockées sur Amazon S3, les utilisateurs disposent uniquement d'un accès aux ressources S3 qu'ils créent. Vous pouvez accorder un accès à d'autres utilisateurs en utilisant l'une des combinaisons des fonctions de gestion des accès suivantes : AWS Identity and Access Management (IAM) pour créer des utilisateurs et gérer leurs accès respectifs ; Listes de contrôle d'accès (ACL) pour rendre des objets individuels accessibles aux utilisateurs autorisés ; des politiques de compartiment pour configurer les permissions de tous les objets dans un seul compartiment S3 ; et l'Authentification par chaîne d'interrogation pour conférer un accès en une seule fois aux autres par l'entremise d'URL temporaires. Amazon S3 prend également en charge les journaux d'audit qui répertorient les requêtes faites sur vos ressources S3, pour une visibilité totale de ceux qui accèdent aux données.
S3 Block Public Access
En quelques clics dans la console de gestion S3, vous pouvez appliquer S3 Block Public Access à chaque compartiment de votre compte, qu'ils soient existants ou créés à l'avenir, et vous assurer qu'aucun objet n'est accessible au public. L'option Block Public Access est activée par défaut pour tous les nouveaux compartiments. Pour restreindre l'accès à tous les compartiments existants de votre compte, vous pouvez activer l'option Bloquer l'accès public au niveau du compte. Les paramètres de S3 Block Public Access remplacent les autorisations S3 permettant un accès public. Ainsi, l'administrateur de compte peut facilement configurer un contrôle centralisé afin d'empêcher les variations de configuration de la sécurité pour tous les objets et compartiments, quelle que soit la manière dont un objet est ajouté ou un compartiment créé.
S3 verrouillage d’objet
Amazon S3 verrouillage d’objet bloque la suppression de la version de l'objet pendant une période de rétention définie par le client afin que vous puissiez appliquer des stratégies de rétention en tant que couche supplémentaire de protection des données ou à des fins de conformité réglementaire. Vous pouvez migrer des charges de travail depuis des systèmes à inscription unique et lecture multiple (WORM) existants vers Amazon S3, et configurer le verrouillage d’objet S3 aux niveaux de l'objet et du compartiment pour empêcher les suppressions de version d'objet avant les dates de fin de conservation ou de détention légale.
Object Ownership S3
Amazon S3 Object Ownership désactive les listes de contrôle d'accès (ACL), confiant la propriété de tous les objets au propriétaire du compartiment et simplifiant la gestion de l'accès aux données stockées dans S3. Lorsque vous configurez le paramètre du propriétaire du compartiment S3 Object Ownership, les ACL n'affecteront plus les permissions pour votre compartiment et les objets qu'il contient. Tout contrôle d'accès sera défini à l'aide de politiques basées sur les ressources, de politiques utilisateur ou d'une combinaison des deux. Les ACL sont automatiquement désactivées pour les nouveaux compartiments. Vous pouvez utiliser S3 Inventory pour vérifier l'utilisation des ACL dans vos compartiments avant d'activer S3 Object Ownership lors de la migration vers des politiques de compartiments basées sur IAM. Pour plus d'informations, consultez Contrôle du propriétaire des objets.
Gestion des identités et des accès
Toutes les ressources Amazon S3 (les compartiments, les objets et les sous-ressources associées) sont privées par défaut. Seul le propriétaire de ressource, un compte AWS l'ayant créée, peuvent accéder à la ressource. Amazon S3 offre deux grandes familles d'options de stratégie d'accès : les politiques basées sur les ressources et celles basées sur les utilisateurs. Vous pouvez choisir l'une ou l'autre ou bien une combinaison des deux pour gérer les autorisations d'accès à vos ressources Amazon S3. Par défaut, un objet S3 appartient au compte qui a créé l'objet, y compris lorsque ce compte est différent du propriétaire du compartiment. Vous pouvez utiliser la propriété des objets S3 pour désactiver les listes de contrôle d'accès et modifier ce comportement. Si vous le faites, chaque objet d'un compartiment appartient au propriétaire de ce compartiment. Pour plus d'informations, consultez la section Gestion des identités et des accès dans Amazon S3.
Amazon Macie
Identifiez et protégez vos données sensibles à l'échelle dans Amazon S3 avec Amazon Macie. Macie vous fournit automatiquement un inventaire complet de vos compartiments S3 en analysant les compartiments pour identifier et classer les données. Vous recevez les résultats de sécurité exploitables énumérant les données correspondant aux types de données sensibles, dont les données d'identification personnelle (PII) (par exemple les noms des clients et les numéros de carte de crédit), et les catégories définies par des réglementations relatives à la confidentialité, telles que le RGPD ou la loi HIPAA. Macie évalue aussi automatiquement et en continu les contrôles préventifs au niveau du compartiment pour les compartiments non chiffrés, accessibles publiquement ou partagés avec des comptes extérieurs à votre organisation. Ainsi, vous pouvez ajuster rapidement les paramètres non autorisés de vos compartiments.
Chiffrement
Amazon S3 chiffrera automatiquement tous les chargements d'objets dans tous les compartiments. Pour les chargements d'objets, Amazon S3 prend en charge le chiffrement côté serveur avec quatre options de gestion clés : DSSE-KMS, SSE-KMS, SSE-C et SSE-S3 (le niveau de base du chiffrement), ainsi que le chiffrement côté client. Amazon S3 propose des fonctions de sécurité flexibles pour bloquer l'accès à vos données aux utilisateurs non autorisés. Utilisez des points de terminaison VPC pour vous connecter aux ressources S3 à partir de Amazon Virtual Private Cloud (Amazon VPC). Utilisez l'inventaire S3 pour vérifier le statut de chiffrement de vos objets S3 (voir gestion du stockage pour plus d'informations sur l'inventaire S3).
AWS Trusted Advisor
Trusted Advisor EXAMINE votre environnement AWS et émet des recommandations dès lors qu'il existe une possibilité de remédier à certaines failles de sécurité.
Trusted Advisor propose les vérifications relatives à Amazon S3 suivantes : la configuration de la journalisation des compartiments Amazon S3, les vérifications de la sécurité pour les compartiments Amazon S3 ayant des autorisations d'accès libre et les vérifications de la tolérance aux pannes pour les compartiments Amazon S3 dont la gestion des versions est suspendue ou non activée.
AWS PrivateLink for S3
Accédez directement à Amazon S3 en tant que point de terminaison privé au sein de votre réseau virtuel sécurisé avec AWS PrivateLink for S3. Simplifiez votre architecture réseau en vous connectant à S3 depuis votre environnement sur site ou dans le cloud à l’aide d’adresses IP privées à partir de votre Virtual Private Cloud (VPC). Plus besoin d'utiliser des IP publiques et de configurer des règles de pare-feu ou une passerelle Internet pour accéder à S3 depuis un environnement sur site.
Vérifier l'intégrité des données
Par défaut, les derniers kits SDK AWS calculent automatiquement des sommes de contrôle efficaces basées sur contrôle de redondance cyclique (CRC) pour l’ensemble des chargements. S3 vérifie indépendamment cette somme de contrôle et n’accepte les objets qu’après avoir vérifié que l’intégrité des données a été maintenue pendant le transit sur l’Internet public. Si une version du kit SDK ne fournissant pas de somme de contrôle précalculée est utilisée pour charger un objet, S3 calcule une somme de contrôle basée sur CRC pour l’ensemble de l’objet, y compris pour les chargements en plusieurs parties. Les sommes de contrôle sont stockées dans les métadonnées des objets et sont donc disponibles pour vérifier l’intégrité des données à tout moment. Choisissez parmi cinq algorithmes de somme de contrôle pris en charge (SHA-1, SHA-256, CRC32, CRC32C ou CRC64NVME) pour vérifier l’intégrité des données lors de vos demandes de chargement et de téléchargement. Calculez et vérifiez automatiquement les sommes de contrôle lorsque vous stockez ou récupérez des données depuis Amazon S3. Vous avez accès à tout moment aux informations des sommes de contrôle à l’aide de l’API HeadObject S3, de l’API GetObjectAttributes S3 ou d’un rapport d’inventaire S3.
Fonctionnement
-
AWS PrivateLink for Amazon S3
-
Amazon Macie
-
S3 Block Public Access
-
Amazon GuardDuty for S3
-
AWS PrivateLink for Amazon S3
-
Établissez une connexion privée directe depuis votre environnement sur site à Amazon S3. Pour commencer, consultez la documentation d’AWS PrivateLink for S3.
-
Amazon Macie
-
Identifiez et protégez vos données sensibles quelle que soit l'échelle. Pour commencer à utiliser Amazon Macie, rendez-vous sur le site Web.
-
S3 Block Public Access
-
Bloquez tous les accès publics à Amazon S3 aujourd’hui et demain. Pour en savoir plus sur S3 Block Public Access, consultez la page Web.
-
Amazon GuardDuty for S3
-
Protégez vos données Amazon S3 grâce à la détection intelligente des menaces, à la surveillance en continu, et à l'analyse des logiciels malveillants. Pour en savoir plus sur Amazon GuardDuty for Amazon S3, consultez la page Web.
Ressources Amazon S3 relatives à la sécurité, à la gestion des accès, au chiffrement et à la protection des données
Consultez l’ebook sur la protection des données et la sécurité Amazon S3 pour découvrir les outils et pratiques recommandées en matière de gestion des accès, d’audit, de surveillance et de protection des données.
Dans cette vidéo de présentation de la protection des données Amazon S3, vous découvrirez les fonctionnalités de protection des données natives d’Amazon S3, notamment la gestion des versions S3, le verrouillage d’objet S3 et la réplication S3. Vous bénéficierez d'une brève présentation de chacune de ces fonctions de protection des données S3, apprendrez comment ces fonctions peuvent vous aider à atteindre vos objectifs de protection des données et obtiendrez des conseils utiles sur la façon de protéger vos données à l'aide d'Amazon S3.
Les entreprises créent et transfèrent en permanence des ressources numériques critiques sur Amazon S3. Lorsque les ressources sont migrées et utilisées dans des flux de travail, il est important de s'assurer que les fichiers ne sont pas altérés par une corruption du réseau, une défaillance du disque dur ou d'autres problèmes involontaires. Des algorithmes sont utilisés pour analyser les fichiers octet par octet afin de générer des empreintes digitales uniques, appelées sommes de contrôle. Dans cette présentation technique, découvrez comment vous pouvez utiliser les sommes de contrôle pour vérifier que les actifs ne sont pas altérés lorsqu'ils sont copiés. Explorez plusieurs options de somme de contrôle Amazon S3 pour accélérer la vérification de l'intégrité des données, et découvrez comment vous pouvez confirmer que chaque octet est transféré sans altération, ce qui vous permet de maintenir l'intégrité des données de bout en bout.
Le respect rigoureux des meilleures pratiques d'architecture et des contrôles proactifs constitue le fondement de la sécurité du stockage et des contrôles d'accès. Dans cette vidéo, découvrez les meilleures pratiques en matière de sécurité des données dans Amazon S3. Examiner les notions de base de l'architecture de sécurité d'Amazon S3 et plongez dans les dernières améliorations apportées à la convivialité et aux fonctionnalités. Examiner les options de cryptage, de contrôle d'accès, de surveillance de la sécurité, d'audit et de remédiation.
Amazon S3 chiffrera automatiquement tous les chargements d'objets dans tous les compartiments. Pour les chargements d'objets, Amazon S3 prend en charge le chiffrement côté serveur avec quatre options de gestion clés : DSSE-KMS, SSE-KMS, SSE-C et SSE-S3 (le niveau de base du chiffrement), ainsi que le chiffrement côté client. Amazon S3 propose des contrôles d'accès granulaires adaptés à toutes les charges de travail. Dans cette vidéo, apprenez les bonnes pratiques en matière de chiffrement et de contrôle d'accès d'Amazon S3
À la création et par défaut, toutes les ressources S3 sont privées et ne peuvent être consultées que par le propriétaire des ressources ou l’administrateur du compte. Cette conception de la sécurité vous permet de configurer des stratégies d’accès affinées qui s’alignent sur les exigences d’organisation, de gouvernance, de sécurité et de conformité. Dans cette vidéo, découvrez les différentes manières de gérer l'accès à vos données à l'aide des politiques relatives aux compartiments S3 et AWS Identity and Access Management (IAM).
S3 est conçu pour 11 9s de durabilité, une forte résilience et une haute disponibilité. Cependant, même le stockage le plus durable ne peut pas protéger contre les suppressions involontaires ou accidentelles. De plus, les rançongiciels sont une excellente raison d'évaluer une protection supplémentaire pour vos données critiques. Découvrez les fonctionnalités S3 qui offrent des couches de protection supplémentaires, notamment la gestion des versions S3, la réplication interrégionale S3 (CRR) et le verrouillage des objets S3.
Blogs sur la sécurité dans S3
Blog d'actualités AWS
Amazon S3 chiffre les nouveaux objets par défaut
Amazon S3 chiffre tous les nouveaux objets par défaut. À partir du 5 janvier 2023, S3 applique automatiquement le chiffrement côté serveur (SSE-S3) pour chaque nouvel objet, sauf si vous spécifiez une option de chiffrement différente. Ce changement met automatiquement en œuvre une autre meilleure pratique de sécurité, sans impact sur les performances et sans action de votre part.
Blog d'actualités AWS
Mise en garde : des modifications de la sécurité d'Amazon S3 sont prévues en avril 2023
À partir d'avril 2023, nous apporterons deux modifications à Amazon S3 afin de mettre en œuvre automatiquement nos dernières bonnes pratiques en matière de sécurité des compartiments. Une fois que les changements seront en vigueur pour une région cible, tous les compartiments nouvellement créés dans la région auront par défaut l'accès public au bloc S3 activé et les ACL désactivées.
Blog d'actualités AWS
Simplifiez la gestion des accès aux données stockées dans Amazon S3
Le nouveau paramètre de propriété des objets Amazon S3, Propriétaire du compartiment, vous permet de désactiver toutes les ACL associées à un compartiment et aux objets qu'il contient. Lorsque vous appliquez ce paramètre au niveau du compartiment, tous les objets du compartiment deviennent la propriété du compte AWS qui a créé le compartiment, et les ACL ne sont plus utilisées pour accorder l'accès.
BLOG AWS NEWS
Nouveau : Chiffrement à double couche Amazon S3 côté serveur avec des clés stockées dans AWS Key Management Service (DSSE-KMS)
Les clients peuvent désormais appliquer deux couches indépendantes de chiffrement côté serveur aux objets dans Amazon S3. Le chiffrement à double couche côté serveur avec des clés stockées dans AWS Key Management Service (DSSE-KMS) est conçu pour répondre aux directives CNSSP 15 de la National Security Agency en matière de conformité à la norme FIPS et aux directives du Data-at-Rest Capability Package (DAR CP) version 5.0 pour deux couches de chiffrement CNSA. Amazon S3 est le seul service de stockage d'objets dans le cloud où les clients peuvent appliquer deux couches de chiffrement au niveau de l'objet et contrôler les clés de données utilisées pour les deux couches.
Commencez à créer avec Amazon S3 dans AWS Management Console.