Como posso proteger os arquivos no meu bucket do Amazon S3?

Breve descrição

Para garantir que seus arquivos e buckets do Amazon S3 estejam seguros, siga essas práticas recomendadas:

• Restrinja o acesso aos seus recursos do S3: Ao usar a AWS, restrinja o acesso aos seus recursos às pessoas que realmente precisam deles. Siga o princípio do menor privilégio.
• Monitore seus recursos do S3: Monitore seus recursos usando logs do AWS CloudTrail, log de acesso ao servidor S3, AWS Config, AWS Identity and Access Management (IAM) Access Analyzer, Amazon Macie, Amazon CloudWatch ou verificação de permissões do bucket S3 do AWS Trusted Advisor.
• **Use criptografia para proteger seus dados:**O Amazon S3 aceita criptografia durante a transmissão, criptografia do lado do servidor (SSE) e criptografia do lado do cliente.

Resolução

Restrinja o acesso aos seus recursos do S3

Por padrão, todos os buckets do S3 são privados e só podem ser acessados por usuários que tenham acesso expresso.

Restrinja o acesso aos seus buckets ou objetos do S3 fazendo o seguinte:

• Crie políticas de usuário do IAM que especificam os usuários que podem acessar buckets e objetos específicos. As políticas do IAM são uma forma programática de gerenciar as permissões do Amazon S3 para vários usuários. Para mais informações sobre como criar e testar políticas de usuário, consulte AWS Policy Generator e simulador de políticas do IAM.
• Crie políticas de bucket que definam o acesso a buckets e objetos específicos. Você pode usar uma política de bucket para conceder acesso a todas as contas da AWS, conceder permissões públicas ou anônimas e permitir ou bloquear o acesso com base em condições. Para informações sobre como criar e testar políticas de bucket, consulte AWS Policy Generator.
  **Observação:**você pode usar uma declaração de negação em uma política de bucket para restringir o acesso a usuários específicos do IAM. Você pode restringir o acesso mesmo que os usuários tenham acesso em uma política do IAM.
• Use o Bloqueio de Acesso Público do Amazon S3 como uma forma centralizada de limitar o acesso público. As configurações de bloqueio de acesso público substituem as políticas de bucket e as permissões de objetos. Certifique-se de ativar o bloqueio de acesso público para todas as contas e buckets que você não deseja que sejam acessados publicamente.
• Defina listas de controle de acesso (ACLs) em seus buckets e objetos.
  **Observação:**se você precisar de uma forma programática de gerenciar permissões, use políticas do IAM ou políticas de bucket em vez de ACLs. No entanto, você pode usar ACLs quando sua política de bucket exceder o tamanho máximo de 20 KB. Ou você pode usar ACLs para conceder acesso aos logs de acesso ao servidor Amazon S3 ou aos logs do Amazon CloudFront.

Leve em consideração estas práticas recomendadas ao usar ACLs para proteger seus recursos:

• Certifique-se de revisar as permissões de ACL que permitem ações do Amazon S3 em um bucket ou objeto. Para ver a lista de permissões de ACL e as ações que elas permitem, consulte Quais permissões posso conceder?
• Seja rigoroso sobre quem tem acesso de leitura e gravação aos seus buckets.
• Avalie cuidadosamente o seu caso de uso antes de conceder acesso de leitura ao grupo Todos, pois isso permite que qualquer pessoa acesse o bucket ou o objeto.
• Nunca conceda acesso de gravação ao grupo Todos. Essa configuração permite que qualquer pessoa adicione objetos ao seu bucket, pelos quais você será cobrado. Essa configuração também permite que qualquer pessoa exclua objetos do bucket.
• Nunca permita acesso de gravação ao grupo Qualquer usuário da AWS autenticado. Esse grupo inclui qualquer pessoa com uma conta ativa da AWS, não apenas usuários do IAM em sua conta. Para controlar o acesso dos usuários do IAM em sua conta, use uma política do IAM em vez disso. Para mais informações sobre como o Amazon S3 avalia as políticas do IAM, consulte Como o Amazon S3 autoriza uma solicitação.

Além de usar políticas, bloqueio de acesso público e ACLs, você também pode restringir o acesso a ações específicas das seguintes maneiras:

• Ative a exclusão com MFA, que exige que o usuário se autentique usando um dispositivo de autenticação multifator (MFA) antes de excluir um objeto ou desativar o controle de versão do bucket.
• Configure o acesso à API protegido por MFA, que exige que os usuários se autentiquem com um dispositivo MFA da AWS antes de chamarem determinadas operações de API do Amazon S3.
• Se você compartilhar temporariamente um objeto do S3 com outro usuário, crie uma URL pré-assinada para conceder-lhe acesso limitado. Para mais informações, consulte Compartilhar objetos usando URLs pré-assinados.

Monitore seus recursos do S3

Você pode ativar o registro e monitorar seus recursos do S3 das seguintes maneiras:

• Configure os registros do AWS CloudTrail. Por padrão, o CloudTrail rastreia somente ações em nível de bucket. Para rastrear ações em nível de objeto (como GetObject), habilite eventos de dados do Amazon S3.
• Habilite o registro de acesso ao servidor Amazon S3. Para mais informações sobre a análise desses logs, consulte Amazon S3 server access log format (Formato de log de acesso ao servidor Amazon S3).
• Use o AWS Config para monitorar ACLs e políticas de bucket para quaisquer violações que permitam acesso público de leitura ou gravação. Para mais informações, consulte s3-bucket-public-read-prohibited e s3-bucket-public-write-prohibited.
• Use o AWS IAM Access Analyzer para analisar políticas de bucket ou IAM que concedem acesso aos seus recursos do S3 a partir de outra conta da AWS.
• Use o Amazon Macie para automatizar a identificação de dados confidenciais armazenados em seus buckets, amplo acesso aos seus buckets e buckets não criptografados em sua conta.
• Use o CloudTrail com outros serviços, como o CloudWatch ou o AWS Lambda, para invocar processos específicos quando determinadas ações são realizadas em seus recursos do S3. Para mais informações, consulte Log Amazon S3 object-level operations using CloudWatch Events (Registrar operações em nível de objeto do Amazon S3 usando o CloudWatch Events).
• Se você tiver um plano de suporte empresarial, poderá usar a verificação de permissões do bucket S3 do AWS Trusted Advisor. Essa verificação emite uma notificação sobre buckets com permissões de acesso aberto.
  Observação: essa verificação do Trusted Advisor não monitora as políticas de bucket que substituem as ACLs do bucket.

Use criptografia para proteger seus dados

Se seu caso de uso exigir criptografia durante a transmissão, o Amazon S3 suporta o protocolo HTTPS, que criptografa dados em trânsito de e para o Amazon S3. Todas as ferramentas AWS SDK e AWS usam HTTPS por padrão.
Observação: se você usa ferramentas de terceiros para interagir com o Amazon S3, entre em contato com os desenvolvedores para confirmar se suas ferramentas também suportam o protocolo HTTPS.

Se seu caso de uso exigir criptografia de dados em repouso, o Amazon S3 oferece criptografia do lado do servidor (SSE). As opções de SSE incluem SSE-S3, SSE-KMS ou SSE-C. Você pode especificar os parâmetros SSE ao gravar objetos no bucket. Você também pode ativar a criptografia padrão em seu bucket com SSE-S3 ou SSE-KMS.

Se seu caso de uso exigir criptografia do lado do cliente, consulte Proteger dados usando criptografia do lado do cliente.

Informações relacionadas

Gerenciamento de identidade e acesso no Amazon S3

Proteção de dados no Amazon S3

Como faço para exigir que usuários de outras contas da AWS usem MFA para acessar meus buckets do Amazon S3?

Como posso ver quem está acessando meus buckets e objetos do Amazon S3?