Amazon S3 Güvenlik ve Erişim Yönetimi

S3 yönetim konsolunda yalnızca birkaç tıklamayla S3 Genel Erişimi Engelleme özelliğini hesabınızdaki her bir bucket'a (mevcut bucket'lar ve gelecekte oluşturulacak yeni bucket'lar dâhil) uygulayabilir ve hiçbir nesneye genel erişimin olmadığından emin olabilirsiniz. Tüm yeni klasörlerde Genel Erişimi Engelleme varsayılan olarak etkindir. Hesabınızdaki mevcut tüm bucket'lara erişimi kısıtlamak için hesap düzeyinde Genel Erişimi Engelleme'yi etkinleştirebilirsiniz. S3 Genel Erişimi Engelleme ayarları, genel erişime izin veren S3 izinlerini devre dışı bırakarak hesap yöneticisinin bir nesnenin nasıl eklendiğinden ya da bir bucket'ın nasıl oluşturulduğundan bağımsız olarak güvenlik yapılandırmasında varyasyonların olmasını önlemek için merkezî bir denetim ayarlamasını kolaylaştırır.

Amazon S3 Nesne Kilitleme, müşteri tarafından tanımlanan bir saklama süresi boyunca nesne sürümünün silinmesini engeller ve saklama politikalarını veri koruma veya mevzuat uyumluluğu açısından ek bir katman olarak zorunlu tutmanıza olanak sağlar. İş yüklerini mevcut bir kez yazıp çok kez okuma (WORM) sistemlerinden Amazon S3’e aktarabilir ve nesne sürümlerinin önceden tanımlı Saklama Son Tarihleri veya Yasal Bekletme Tarihleri öncesinde silinmesini önlemek amacıyla S3 Nesne Kilitleme’yi nesne ve klasör seviyelerinde yapılandırabilirsiniz.

Amazon S3 Nesne Sahipliği, Erişim Denetimi Listelerini (ACL'ler) devre dışı bırakarak tüm nesneler için sahipliği klasör sahibine değiştirir ve S3'te depolanan veriler için erişim yönetimini basitleştirir. S3 Nesne Sahipliği'nde Bucket owner enforced (Klasör sahibi zorunlu) ayarını yapılandırdığınızda, ACL'ler klasörünüz ve içindeki nesneler için izinleri artık etkilemeyecektir. Tüm erişim denetimi; kaynak temelli politikaların, kullanıcı politikalarının ve bunların bazı kombinasyonlarının kullanımıyla tanımlanacaktır. ACL'ler yeni bucket'lar için otomatik olarak devre dışı bırakılır. IAM tabanlı bucket politikalarına geçiş yaparken S3 Nesne Sahipliği'ni etkinleştirmeden önce bucket'larınızdaki ACL kullanımını gözden geçirmek için S3 Envanteri'ni kullanabilirsiniz. Daha fazla bilgi için bk. Nesne Sahipliğini Denetleme.

Tüm Amazon S3 kaynakları (klasörler, nesneler ve ilgili alt kaynaklar) özeldir: Sadece kaynak sahibinin oluşturduğu bir AWS hesabı bu kaynaklara erişebilir. Amazon S3, kaynak tabanlı politikalar ve kullanıcı politikaları olarak kategorize edilen erişim politikası opsiyonlarını sunmaktadır. Amazon S3 kaynaklarınıza izin vermek için kaynak tabanlı politikaları, kullanıcı politikalarını ya da bunların bir kombinasyonunu kullanabilirsiniz. Bir S3 nesnesi varsayılan olarak, bu hesabın klasör sahibinden farklı olduğu durumlar da dâhil olmak üzere nesneyi oluşturan hesaba aittir. S3 Nesne Sahipliği'ni kullanarak Erişim Denetimi Listelerini devre dışı bırakabilir ve bu davranışı değiştirebilirsiniz. Bu durumda, klasördeki her bir nesne klasör sahibine ait olur. Daha fazla bilgi için bk. Amazon S3'te kimlik ve erişim yönetimi.

Amazon Macie ile Amazon S3’te hassas verilerinizi uygun ölçekte keşfedin ve koruyun. Macie, verileri tanımlamak ve kategorize etmek için S3 klasörlerinin tam envanterini size otomatik olarak sunar. Örneğin, kimliği tanımlayabilecek bilgiler (PII) (ör. müşteri isimleri ve kredi kartı numaraları) gibi hassas veri türlerine ve GDPR ve HIPAA gibi mahremiyet mevzuatlarınca tanımlanan kategorilere uyan tüm verileri numaralandıran güvenlik bulguları elde edersiniz. Macie ayrıca şifrelenmemiş, kamuya açık ya da örgütünüz dışındaki hesaplarla paylaşılmış olan tüm klasörler için klasör seviyesinde önleyici kontrolleri otomatik ve sürekli olarak değerlendirir ve size de klasörlerdeki istenmeyen ayarlara hızlıca ulaşma imkânı tanır.

Amazon S3, tüm bucket'lara yapılan tüm nesne yüklemelerini otomatik olarak şifreler. Amazon S3, nesne yüklemeleri için dört anahtar yönetim seçeneğiyle sunucu tarafı şifrelemeyi destekler: SSE-S3 (temel şifreleme düzeyi), SSE-KMS, DSSE-KMS, SSE-C ve ayrıca istemci tarafı şifreleme. Amazon S3, yetkisiz kullanıcıların verilerinize erişmesini engelleyen esnek güvenlik özellikleri sunar. Amazon Sanal Özel Bulut (Amazon VPC) ortamınızdan Amazon S3 kaynaklarınıza VPC uç noktalarını kullanarak bağlanabilirsiniz. S3 nesnelerinizin şifreleme durumunu kontrol etmek için S3 Envanteri'ni kullanın (S3 Envanteri hakkında daha fazla bilgi için depolama yönetimine başvurun).

Güvenilir Danışman, AWS ortamınızı inceler ve daha sonra güvenlik açıklarınızı kapatmak üzere fırsatlar doğduğunda önerilerde bulunur. 

Güvenilir Danışman, Amazon S3 ile ilişkili şu kontrollere sahiptir: Amazon S3 klasörlerine yönelik günlük kaydı yapılandırması, açık erişim izinlerine sahip Amazon S3 klasörleri için güvenlik kontrolleri ve sürüm oluşturmaya sahip olmayan ya da sürüm oluşturma özelliği askıya alınmış olan Amazon S3 klasörleri için hata toleransı kontrolleri.

S3 İçin AWS PrivateLink ile Amazon S3'e güvenli, sanal ağınız içindeki özel bir uç nokta olarak doğrudan erişin. Sanal Özel Bulut’unuzdaki (VPC) özel IP adreslerini kullanarak şirket içinden veya bulutta S3'e bağlanarak ağ mimarinizi basitleştirin. Artık şirket içinden S3'e erişmek için genel IP'ler kullanmanıza, güvenlik duvarı kurallarını değiştirmenize veya bir internet ağ geçidi yapılandırmanıza gerek yok.

Yükleme ve indirme isteklerinizde veri bütünlüğünü kontrol etmek için desteklenen dört sağlama toplamı algoritması (SHA-1, SHA-256, CRC32 veya CRC32C) arasından seçim yapın. Verileri Amazon S3'te depolar veya Amazon S3'ten alırken sağlama toplamlarını otomatik olarak hesaplayıp doğrulayın ve GetObjectAttributes S3 API'sini ya da S3 Inventory raporunu kullanarak istediğiniz zaman sağlama toplamı bilgilerine erişin.