Recursos incomparáveis de segurança, conformidade e auditoria
Armazene os dados no Amazon S3 e os proteja contra acesso não autorizado com recursos de criptografia e ferramentas de gerenciamento de acesso. O S3 criptografa todos os objetos carregados para todos os buckets. O S3 é o único serviço de armazenamento que permite que você bloqueie acesso público a todos os seus objetos no bucket ou na conta com o S3 Block Public Access. O Amazon S3 mantém programas de conformidade, como PCI-DSS, HIPAA/HITECH, FedRAMP, EU Data Protection Directive e FISMA, para ajudá-lo a cumprir exigências regulatórias. A AWS também dá suporte a inúmeros recursos de auditoria para monitorar solicitações de acesso aos recursos do S3.
Gerenciamento de segurança e acesso do Amazon S3
Por padrão, para proteger os dados no Amazon S3, os usuários só têm acesso aos recursos do S3 que criam. Você pode conceder acesso a outros usuários usando um ou uma combinação dos seguintes recursos de gerenciamento de acesso: AWS Identity and Access Management (IAM) para criar usuários e gerenciar o respectivo acesso; Listas de controle de acesso (ACLs) para tornar objetos individuais acessíveis para usuários autorizados; políticas de bucket para configurar permissões para todos os objetos em um único bucket do S3 e Autenticação da string de consulta para conceder acesso por tempo limitado a outras pessoas com URLs temporárias. O Amazon S3 também oferece suporte a logs de auditoria que listam as solicitações feitas em seus recursos do S3 para oferecer visibilidade total sobre quem está acessando quais dados.
Bloqueio de acesso público do S3
Com apenas alguns cliques no console de gerenciamento do S3, você pode aplicar o Bloqueio de acesso público do S3 a cada bucket em sua conta, tanto buckets atuais quanto criados no futuro, e garantir que não haja acesso público a nenhum objeto. Todos os novos buckets têm o Bloqueio de acesso público habilitado por padrão. Para restringir o acesso a todos os buckets existentes em sua conta, você pode ativar o Bloqueio de acesso público no nível da conta. As configurações do Bloqueio de acesso público do S3 substituem as permissões do S3 que permitem o acesso público, tornando mais fácil para o administrador da conta configurar um controle centralizado para evitar variações na configuração de segurança, independentemente de como um objeto é adicionado ou um bucket é criado.
Bloqueio de objetos do S3
O Bloqueio de objetos do Amazon S3 bloqueia a exclusão de versão de objetos durante um período de retenção definido pelo cliente para que você possa aplicar políticas de retenção como uma camada adicional de proteção de dados ou de conformidade normativa. Você pode migrar workloads de sistemas do tipo gravação única e várias leituras (WORM) para um Amazon S3 e configurar o Bloqueio de objetos do S3 nos níveis do objeto e do bucket para evitar exclusões de versões de objetos antes das Datas de retenção até ou Datas de bloqueio legal predefinidas.
S3 Object Ownership
O Amazon S3 Object Ownership desativa as listas de controle de acesso (ACLs), alterando a propriedade de todos os objetos para o proprietário do bucket e simplificando o gerenciamento de acesso aos dados armazenados no S3. Quando você configura a configuração Proprietário do bucket aplicado do S3 Object Ownership, as ACLs não afetarão mais as permissões do seu bucket e dos objetos nele. Todo o controle de acesso será definido por meio de políticas baseadas em recursos, políticas de usuário ou uma combinação delas. As ACLs são desabilitadas automaticamente para novos buckets. Você pode usar o S3 Inventory para analisar o uso de ACLs em seus buckets antes de habilitar o S3 Object Ownership ao migrar para políticas de buckets baseadas no IAM. Para obter mais informações, consulte Controlar a propriedade de objetos.
Identity and Access Management
Por padrão, todos os recursos do Amazon S3, como buckets, objetos e sub-recursos relacionados, são privados: somente o proprietário do recurso, uma conta da AWS que o criou, pode acessar o recurso. O Amazon S3 oferece opções de política de acesso classificadas amplamente como políticas com base em recursos e políticas de usuário. Você pode optar por usar políticas com base em recursos, políticas de usuário ou qualquer combinação delas para gerenciar permissões para seus recursos do Amazon S3. Por padrão, um objeto S3 pertence à conta que criou o objeto, incluindo quando essa conta é diferente do proprietário do bucket. Você pode usar S3 Object Ownership para desabilitar as listas de controle de acesso e alterar esse comportamento. Se você fizer isso, cada objeto em um bucket será de propriedade do proprietário do bucket. Para obter mais informações, consulte Identity and Access Management no Amazon S3.
Amazon Macie
Descubra e proteja dados sigilosos em grande escala no Amazon S3 com o Amazon Macie. O Macie fornece automaticamente um inventário completo dos seus buckets do S3, examinando esses buckets para identificar e categorizar os dados. Você recebe descobertas de segurança acionáveis, enumerando quaisquer dados que se adaptem a esses tipos de dados sigilosos, incluindo “personal identifiable information” (PII – informações de identificação pessoal) (por exemplo, nomes de clientes e números de cartões de crédito) e categorias definidas por regulamentos de privacidade, como o GDPR e o HIPAA. O Macie também avalia controles preventivos em nível de bucket de forma automática e contínua para descobrir quaisquer buckets não criptografados, publicamente acessíveis ou compartilhados com contas fora da sua organização, permitindo que você resolva rapidamente configurações não intencionais em buckets.
Criptografia
O Amazon S3 criptografa automaticamente todos os objetos carregados em todos os buckets. Para carregar objetos, o Amazon S3 oferece suporte à criptografia do lado do servidor com quatro opções de gerenciamento de chaves: SSE-S3 (o nível básico de criptografia), SSE-KMS, DSSE-KMS e SSE-C, bem como criptografia do lado do cliente. O Amazon S3 oferece recursos de segurança flexíveis para impedir que usuários não autorizados acessem seus dados. Use VPC endpoints para se conectar aos recursos do S3 a partir da Amazon Virtual Private Cloud (Amazon VPC). Use o Inventário do S3 para verificar o status de criptografia dos objetos do S3 (consulte gerenciamento de armazenamento para obter mais informações sobre o Inventário do S3).
AWS Trusted Advisor
O Trusted Advisor inspeciona seu ambiente da AWS e, em seguida, faz recomendações quando existem oportunidades para ajudar a fechar lacunas de segurança.
O Trusted Advisor tem as seguintes verificações relacionadas ao Amazon S3: configuração de registro em log de buckets do Amazon S3, verificações de segurança para buckets do Amazon S3 que têm permissões de acesso aberto, verificações de tolerância a falhas para buckets do Amazon S3 que não têm o versionamento habilitado ou cujo versionamento está suspenso.
AWS PrivateLink for S3
Acesse o Amazon S3 diretamente como um endpoint privado dentro de sua rede virtual segura com o AWS PrivateLink for S3. Simplifique sua arquitetura de rede conectando-se ao S3 on-premises ou na nuvem com o uso de endereços IP privados da sua Virtual Private Cloud (VPC). Não é mais necessário usar IPs públicos, configurar regras de firewall ou configurar um gateway da Internet para acessar o S3 em ambientes on-premises.
Verificar identidade de dados
Por padrão, os SDKs mais recentes da AWS calculam automaticamente somas de verificação eficientes baseadas em CRC para todos os uploads. O S3 verifica de forma independente essa soma de verificação e só aceita objetos após confirmar que a integridade dos dados foi mantida em trânsito pela Internet pública. Se uma versão do SDK que não fornece somas de verificação pré-calculadas for usada para carregar um objeto, o S3 calculará uma soma de verificação baseada em CRC de todo o objeto, mesmo para uploads de várias partes. As somas de verificação são armazenadas nos metadados do objeto e, portanto, estão disponíveis para verificar a integridade dos dados a qualquer momento. Escolha entre cinco algoritmos compatíveis de soma de verificação (SHA-1, SHA-256, CRC32, CRC32C ou CRC64NVME) para verificar a integridade de dados em suas solicitações para carregar e baixar. Calcule e verifique somas de verificação automaticamente à medida que armazena ou recupera dados do Amazon S3. Acesse as informações de soma de verificação a qualquer momento usando a API HeadObject do S3, a API GetObjectAttributes do S3 ou um relatório do S3 Inventory.
Como funciona
-
AWS PrivateLink for Amazon S3
-
Amazon Macie
-
Bloqueio de acesso público do S3
-
Amazon GuardDuty for S3
-
AWS PrivateLink for Amazon S3
-
Estabeleça uma conexão privada direta on-premises para o Amazon S3. Para começar, leia a documentação do AWS PrivateLink for S3.
-
Amazon Macie
-
Descubra e proteja seus dados confidenciais em escala. Para começar a usar o Amazon Macie, acesse o site.
-
Bloqueio de acesso público do S3
-
Bloqueie todo o acesso público ao Amazon S3 agora e no futuro. Para saber mais sobre o S3 Block Public Access, acesse a página da Web.
-
Amazon GuardDuty for S3
-
Proteja seus dados do Amazon S3 com detecção inteligente de ameaças, monitoramento contínuo e detecção de malware. Para saber mais sobre o Amazon GuardDuty for Amazon S3, acesse a página da Web.
Recursos de segurança, gerenciamento de acesso, criptografia e proteção de dados do Amazon S3
Leia o e-book sobre o Segurança e proteção de dados do Amazon S3 para aprender as ferramentas e as melhores práticas para gerenciamento de acesso, auditoria e monitoramento e proteção de dados.
Neste vídeo da visão geral da proteção de dados do Amazon S3, você conhecerá os atributos de proteção de dados nativos no Amazon S3, incluindo versionamento, bloqueio de objetos e replicação do S3. Você terá uma visão geral resumida de cada um desses recursos de proteção de dados do S3, aprenderá como eles podem ajudar a cumprir as metas de proteção de dados e receberá dicas úteis sobre como proteger seus dados usando o Amazon S3.
As empresas estão constantemente criando e migrando os ativos digitais críticos aos negócios para o Amazon S3. À medida que os ativos são migrados e usados em vários fluxos de trabalho, é importante garantir que os arquivos não sejam afetados por corrupções da rede, falha no disco rígido ou outros problemas não intencionais. Os algoritmos são usados para verificar byte por byte dos arquivos, gerando impressões digitais únicas para eles, conhecidas como checksums. Neste Tech Talk, saiba como usar os checksums para verificar se os ativos foram alterados na cópia. Explore várias opções de checksum para o Amazon S3, voltadas para acelerar a integridade da verificação de dados, e saiba como confirmar que cada byte seja transferido sem alterações, permitindo manter a integridade total dos dados.
A forte aderência às práticas recomendadas de arquitetura de dados e controles proativos é o pilar de sustentação da segurança de armazenamento e controles de acesso. Neste vídeo, aprenda sobre as melhores práticas para a segurança de dados no Amazon S3. Revise os fundamentos básicos da arquitetura de segurança do Amazon S3 e aprofunde-se sobre as últimas melhorias em usabilidade e funcionalidade. Considere opções de criptografia, controle de acesso, monitoramento de segurança, auditoria e remediação.
O Amazon S3 criptografa automaticamente todos os objetos carregados em todos os buckets. Para carregar objetos, o Amazon S3 oferece suporte à criptografia do lado do servidor com quatro opções de gerenciamento de chaves: SSE-S3 (o nível básico de criptografia), SSE-KMS, DSSE-KMS e SSE-C, bem como criptografia do lado do cliente. O Amazon S3 oferece controles de acesso granulares para se adequar a qualquer workload. Neste vídeo, conheça as práticas recomendadas de criptografia e controle de acesso do Amazon S3.
No momento da criação e por padrão, todos os recursos do S3 são privados e só podem ser acessados pelo proprietário do recurso ou administrador da conta. Esse projeto de segurança permite que você configure políticas minuciosas de acesso alinhadas a requisitos organizacionais, bem como de governança, segurança e conformidade. Neste vídeo, conheça as diferentes maneiras de gerenciar o acesso aos seus dados usando as políticas de bucket do AWS Identity and Access Management (IAM) e do S3.
O S3 é projetado para 11 noves de durabilidade, forte resiliência e alta disponibilidade. No entanto, mesmo o armazenamento mais durável não consegue proteger contra exclusões não intencionais ou acidentais. Além disso, os eventos de ransomware são um motivo principal para considerar uma proteção adicional para seus dados críticos. Saiba mais sobre os recursos do S3 que fornecem camadas adicionais de proteção, incluindo o versionamento, a replicação entre regiões diferentes (CRR) e o bloqueio de objetos do S3.
Blogs de segurança do S3
Blog de notícias da AWS
O Amazon S3 criptografa novos objetos por padrão
O Amazon S3 criptografa novos objetos por padrão. A partir de 5 de janeiro de 2023, o S3 aplicará automaticamente a criptografia do lado do servidor (SSE-S3) a cada novo objeto, a menos que você especifique uma opção de criptografia diferente. Essa mudança implementa automaticamente outra prática de segurança recomendada, sem nenhum impacto na performance e nenhuma ação necessária do seu lado.
Blog de notícias da AWS
Atenção: alterações de segurança do Amazon S3 estão previstas para abril de 2023
A partir de abril de 2023, faremos duas alterações no Amazon S3 para implementar automaticamente as nossas mais recentes práticas recomendadas para a segurança do bucket. Após a implementação dessas alterações para uma região de destino, todos os buckets recém-criados na região terão o bloqueio do acesso público ao S3 ativado e ACLs desativadas.
Blog de notícias da AWS
Simplifique o gerenciamento do acesso aos dados armazenados no Amazon S3
A nova configuração de propriedade de objetos do Amazon S3, Bucket owner enforced (cumprimento da propriedade do bucket), permite desativar todas as ACLs associadas ao bucket e aos objetos contidos nele. Ao aplicar essa configuração no nível do bucket, todos os objetos contidos nele se tornarão de propriedade da conta da AWS que criou o bucket, e as ACLs não serão mais usadas para conceder acesso.
BLOG DE NOTÍCIAS DA AWS
Novo — Criptografia do lado do servidor de camada dupla Amazon S3 com chaves armazenadas no AWS Key Management Service (DSSE-KMS)
Agora, os clientes podem aplicar duas camadas independentes de criptografia do lado do servidor aos objetos no Amazon S3. A criptografia de camada dupla no lado do servidor com chaves armazenadas no AWS Key Management Service (DSSE-KMS) foi projetada para atender às diretrizes da National Security Agency CNSSP 15 em conformidade com FIPS e com a orientação da versão 5.0 do Data-at-Rest Capability Package (DAR CP) para duas camadas de criptografia CNSA. O Amazon S3 é o único serviço de armazenamento de objetos na nuvem em que os clientes podem aplicar duas camadas de criptografia no nível do objeto e controlar as chaves de dados usadas em ambas as camadas.
Obtenha acesso instantâneo ao nível gratuito da AWS.
Comece a criar com o Amazon S3 no Console de Gerenciamento da AWS.