Gestione della sicurezza e degli accessi di Amazon S3

Con pochi clic nella console di gestione S3 è ora possibile applicare il Blocco dell'accesso pubblico S3 a ogni bucket del proprio account, sia esistente che di futura creazione, e assicurarsi che non venga effettuato l'accesso pubblico ad alcun oggetto. Per impostazione predefinita, in tutti i nuovi bucket è abilitato il Blocco dell'accesso pubblico. Per limitare l'accesso a tutti i bucket esistenti nel tuo account, puoi abilitare Blocco dell'accesso pubblico a livello di account. Le impostazioni di Blocco dell'accesso pubblico S3 hanno maggiore validità delle autorizzazioni S3 che consentono l'accesso pubblico. Ciò semplifica all'amministratore dell'account l'impostazione di un controllo centralizzato che impedisca modifiche alla configurazione della sicurezza, indipendentemente dalla modalità di aggiunta di un oggetto o di creazione di un bucket.

Amazon S3 Object Lock blocca l'eliminazione della versione degli oggetti durante un periodo di conservazione definito dal cliente, consentendogli di applicare criteri di conservazione come il livello aggiuntivo di protezione dei dati o la conformità normativa. Puoi migrare i carichi di lavoro dai sistemi WORM (Write-Once-Read-Many) esistenti in Amazon S3 e configurare S3 Object Lock a livello di oggetto e di bucket per prevenire l'eliminazione della versione degli oggetti prima della data di fine conservazione o della data di conservazione di carattere legale predefinita.

La proprietà degli oggetti di Amazon S3 ha disabilitato la lista di controllo accessi (ACL), modificando la proprietà di tutti gli oggetti al proprietario del bucket e semplificando la gestione degli accessi per i dati archiviati in S3. Nel configurare l'impostazione forzata del proprietario del bucket di proprietà degli oggetti S3, gli ACL non influiranno più sulle autorizzazioni per il bucket e gli oggetti in esso contenuti. Tutto il controllo degli accessi verrà definito utilizzando criteri basati sulle risorse, criteri utente o una combinazione dei due. Le ACL vengono automaticamente disabilitate per i nuovi bucket. Puoi utilizzare S3 Inventory per esaminare l'utilizzo delle ACL nei bucket prima di abilitare S3 Object Ownership durante la migrazione a policy dei bucket basate su IAM. Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti.

Per impostazione predefinita, tutte le risorse di Amazon S3 (bucket, oggetti e relative sottorisorse) sono private: solo il proprietario della risorsa, l'account AWS che l'ha creata, può accedervi. Amazon S3 offre opzioni di policy ampiamente categorizzate come policy basate sulle risorse e policy utente. Puoi scegliere di utilizzare le policy basate sulle risorse, le policy utente o alcune combinazioni delle suddette per gestire le autorizzazioni alle tue risorse di Amazon S3. Di default, un oggetto S3 è di proprietà dell'account che ha creato l'oggetto, anche quando questo account è diverso dal proprietario del bucket. È possibile utilizzare Proprietà oggetto S3 per disabilitare la lista di controllo accessi e modificare questo comportamento. Se è così, ogni oggetto in un bucket è proprietà del proprietario del bucket. Per ulteriori informazioni, consulta  Identity and Access Management su Amazon S3..

Individua e proteggi i tuoi dati sensibili su vasta scala in Amazon S3 con Amazon Macie. Macie fornisce automaticamente un inventory completo di bucket S3 scansionando i bucket per identificare e categorizzare i dati. Fai scoperte sulla sicurezza direttamente realizzabili elencando tutti i dati corrispondenti ai tipi di dati sensibili, come quelli che consentono l'identificazione personale (ad esempio i nomi dei clienti o delle carte di credito) e le categorie definite dai regolamenti sulla privacy, come il GDPR e gli standard HIPAA. Inoltre, Macie valuta automaticamente e continuamente i controlli preventivi a livello di bucket per tutti i bucket non crittografati, accessibili pubblicamente o condivisi con gli account al di fuori dell'organizzazione, permettendo di identificare rapidamente le impostazioni indesiderate sui bucket.

Amazon S3 crittografa automaticamente tutti i caricamenti di oggetti su tutti i bucket. Per i caricamenti di oggetti, Amazon S3 supporta la crittografia lato server con quattro opzioni di gestione delle chiavi: DSSE-KMS, SSE-KMS, SSE-C e SSE-S3 (il livello base di crittografia), nonché la crittografia lato client. Amazon S3 offre funzionalità di sicurezza flessibili per impedire a utenti non autorizzati di accedere ai tuoi dati. Utilizza gli endpoint VPC per connettere le risorse S3 dal tuo Amazon Virtual Private Cloud (Amazon VPC). Utilizza S3 Inventory per controllare lo stato della crittografia dei tuoi oggetti S3 (consulta gestione dello storage per ulteriori informazioni su S3 Inventory).

Trusted Advisor esamina l'ambiente AWS e invia suggerimenti se riscontra dei modi per aiutare a risolvere problemi relativi alla sicurezza. 

Trusted Advisor prevede i seguenti controlli relativi ad Amazon S3: configurazione di log dei bucket di Amazon S3, controlli di sicurezza per i bucket di Amazon S3 con autorizzazioni di accesso libero e controlli di tolleranza ai guasti per i bucket di Amazon S3 con controllo di versione disabilitato o sospeso.

Accedi ad Amazon S3 direttamente come endpoint privato all'interno della tua rete virtuale sicura con AWS PrivateLink per S3. Semplifica l'architettura della tua rete connettendoti a S3 in locale o al cloud, utilizzando indirizzi IP privati dal Virtual Private Cloud (VPC). Non devi più utilizzare IP pubblici, configurare le regole del firewall o un gateway Internet per accedere a S3 da ambienti On-Premise.

Puoi scegliere tra quattro algoritmi checksum supportati (SHA-1, SHA-256, CRC32 o CRC32C) per il controllo dell’integrità dei dati nelle tue richieste di caricamento e download. Calcola e verifica automaticamente i checksum mentre archivi o recuperi dati da Simple Storage Service (Amazon S3), e accedi alle informazioni relative al checksum in qualunque momento tramite l’API S3 GetObjectAttributes o il report sull’inventario S3.