การรักษาความปลอดภัยและการจัดการสิทธิ์เข้าถึงของ Amazon S3

การรักษาความปลอดภัย การปฏิบัติตามข้อกำหนด และความสามารถในการตรวจสอบที่เหนือชั้น

อินโฟกราฟิก: "การรักษาความปลอดภัยและการจัดการสิทธิ์เข้าถึงของ S3"
แนวทางการปฏิบัติที่ดีที่สุดและเอกสารประกอบสำหรับความปลอดภัยของ S3

ภาพรวม

จัดเก็บข้อมูลใน Amazon S3 และป้องกันการเข้าถึงที่ไม่ได้รับอนุญาตด้วยคุณสมบัติการเข้ารหัสและเครื่องมือจัดการการเข้าถึง S3 เข้ารหัสการอัปโหลดออบเจกต์ทั้งหมดไปยังบัคเก็ตทั้งหมด S3 เป็นบริการพื้นที่จัดเก็บวัตถุเพียงแห่งเดียวที่ให้คุณบล็อกการเข้าถึงแบบสาธารณะให้กับวัตถุทั้งหมดของคุณในบัคเก็ต หรือระดับบัญชีที่มีการบล็อกการเข้าถึงแบบสาธารณะของ S3 S3 จะรักษาโปรแกรมการปฏิบัติตามข้อกำหนด เช่น PCI-DSS, HIPAA/HITECH, FedRAMP, Eu Data Protection Directive และ FISMA เพื่อช่วยให้คุณมีคุณสมบัติตรงตามข้อกำหนด นอกจากนี้ AWS ยังสนับสนุนความสามารถในการตรวจสอบที่หลากหลาย เพื่อติดตามคำขอเข้าถึงทรัพยากร S3 ของคุณ

การรักษาความปลอดภัยและการจัดการสิทธิ์เข้าถึงของ Amazon S3

เพื่อปกป้องข้อมูลของคุณใน Amazon S3 ตามค่าเริ่มต้นแล้ว ผู้ใช้จะมีสิทธิ์เข้าถึงทรัพยากร S3 ที่ตนสร้างขึ้นเท่านั้น คุณสามารถมอบสิทธิ์เข้าถึงให้แก่ผู้ใช้รายอื่นได้โดยใช้คุณสมบัติต่อไปนี้ในการจัดการสิทธิ์เข้าถึง: AWS Identity and Access Management (IAM) เพื่อสร้างผู้ใช้และจัดการสิทธิ์เข้าถึงที่เกี่ยวข้อง รายการควบคุมสิทธิ์เข้าถึง (ACL) เพื่อทำให้ผู้ใช้ที่ได้รับอนุญาตสามารถเข้าถึงอ็อบเจ็กต์แต่ละรายการได้ นโยบายบัคเก็ต เพื่อกำหนดค่าสิทธิ์การใช้งานสำหรับอ็อบเจ็กต์ทั้งหมดภายในบัคเก็ต S3 เดียว และการตรวจสอบความถูกต้องของสตริงสืบค้น เพื่อมอบสิทธิ์เข้าถึงแบบจำกัดเวลาให้กับผู้อื่นด้วย URL ชั่วคราว นอกจากนี้ Amazon S3 ยังรองรับบันทึกการตรวจสอบที่แสดงคำขอที่ทำขึ้นสำหรับทรัพยากร S3 ของคุณเพื่อให้สามารถมองเห็นได้อย่างสมบูรณ์ว่าใครเข้าถึงข้อมูลอะไร

การคลิกเพียงไม่กี่ครั้งในคอนโซลการจัดการ S3 ก็ทำให้คุณสามารถใช้การบล็อกการเข้าถึงจากสาธารณะของ S3 กับทุกๆ บัคเก็ตในบัญชีของคุณได้แล้ว ทั้งบัคเก็ตที่มีอยู่แล้วและบัคเก็ตใหม่ใดๆ ที่สร้างขึ้นในอนาคต และช่วยให้แน่ใจได้ว่าไม่มีการเข้าถึงจากสาธารณะไปยังอ็อบเจ็กต์ใดๆ บัคเก็ตใหม่ทั้งหมดมีการเปิดการบล็อกการเข้าถึงจากสาธารณะไว้เป็นค่าเริ่มต้น หากต้องการจํากัดการเข้าถึงบัคเก็ตที่มีอยู่ทั้งหมดในบัญชี คุณสามารถเปิดใช้งานการบล็อกการเข้าถึงจากสาธารณะได้ที่ระดับบัญชี การตั้งค่าการบล็อกการเข้าถึงจากสาธารณะของ S3 จะแทนที่สิทธิ์การใช้งานของ S3 ที่อนุญาตการเข้าถึงจากสาธารณะ โดยทำให้ผู้ดูแลระบบบัญชีตั้งค่าการควบคุมจากศูนย์กลางได้ง่ายขึ้น เพื่อป้องกันรูปแบบที่แตกต่างกันในการกำหนดค่าการรักษาความปลอดภัย ไม่ว่าจะเพิ่มอ็อบเจ็กต์หรือสร้างบัคเก็ตอย่างไรก็ตาม

การล็อกออบเจ็กต์ S3 ของ Amazon ทำหน้าที่ปิดกั้นการลบเวอร์ชันอ็อบเจ็กต์ระหว่างช่วงเวลาการเก็บรักษาข้อมูลที่ลูกค้ากำหนด คุณจึงสามารถบังคับใช้นโยบายการเก็บรักษาข้อมูลไว้ได้ โดยเป็นการปกป้องข้อมูลเพิ่มขึ้นอีกหนึ่งชั้น หรือเพื่อการปฏิบัติตามข้อกำหนดตามระเบียบบังคับ คุณสามารถย้ายเวิร์กโหลดจากระบบแบบเขียนแล้วอ่านได้เท่านั้น (WORM) ที่มีอยู่ไปยัง Amazon S3 และกำหนดค่าการล็อกออบเจ็กต์ S3 ในระดับออบเจ็กต์และระดับบัคเก็ต เพื่อป้องกันการลบเวอร์ชันออบเจ็กต์ก่อนถึงวันที่สิ้นสุดการเก็บรักษาข้อมูลหรือวันที่เก็บรักษาเอกสารเพื่อการดำเนินคดีที่มีการกำหนดไว้ล่วงหน้า

Amazon S3 Object Ownership จะปิดใช้งาน Access Control List (ACL) ซึ่งจะเปลี่ยนความเป็นเจ้าของสำหรับอ็อบเจ็กต์ทั้งหมดไปให้เจ้าของบัคเก็ต และลดความซับซ้อนของการจัดการการเข้าถึงสำหรับข้อมูลที่จัดเก็บไว้ใน S3 เมื่อคุณกำหนดการตั้งค่า บังคับใช้โดยเจ้าของบัคเก็ต ที่ S3 Object Ownership แล้ว ACL จะไม่มีผลต่อสิทธิ์สำหรับบัคเก็ตของคุณและอ็อบเจ็กต์ที่อยู่ในนั้นอีกต่อไป การควบคุมการเข้าถึงทั้งหมดจะได้รับการกำหนดโดยใช้นโยบายตามทรัพยากร นโยบายผู้ใช้ หรือทั้งสองนโยบายนี้ผสมผสานกัน ACL จะถูกปิดใช้งานโดยอัตโนมัติสําหรับบัคเก็ตใหม่ คุณสามารถใช้ S3 Inventory เพื่อตรวจสอบการใช้งาน ACL ในบัคเก็ตของคุณก่อนที่จะเปิดใช้งาน S3 Object Ownership เมื่อย้ายไปยังนโยบายบัคเก็ตที่ใช้ IAM สำหรับข้อมูลเพิ่มเติม โปรดดูที่การควบคุมความเป็นเจ้าของอ็อบเจ็กต์

ตามค่าเริ่มต้น ทรัพยากรทั้งหมดของ Amazon S3 ไม่ว่าจะเป็นบัคเก็ต อ็อบเจกต์ และทรัพยากรย่อยที่เกี่ยวข้อง เป็นทรัพยากรส่วนตัว โดยเจ้าของทรัพยากรเท่านั้น ซึ่งเป็นบัญชี AWS ที่สร้างทรัพยากรนั้น จึงจะมีสิทธิ์เข้าถึงทรัพยากรนั้นได้ Amazon S3 ให้ตัวเลือกนโยบายการเข้าถึงโดยจำแนกประเภทกว้างๆ ตามนโยบายเกี่ยวกับทรัพยากรและนโยบายเกี่ยวกับผู้ใช้ คุณสามารถเลือกที่จะใช้นโยบายตามทรัพยากร นโยบายผู้ใช้ หรือทั้งสองนโยบายนี้ผสมผสานกันเพื่อจัดการสิทธิ์การใช้งานทรัพยากร Amazon S3 ของคุณ ตามค่าเริ่มต้น อ็อบเจ็กต์ S3 จะเป็นของบัญชีที่สร้างอ็อบเจ็กต์นั้นขึ้นมา ซึ่งรวมถึงกรณีที่บัญชีนี้ไม่ใช่เจ้าของบัคเก็ตด้วย คุณสามารถใช้ S3 Object Ownership เพื่อปิดใช้งาน Access Control List และเปลี่ยนแปลงลักษณะการทำงานนี้ได้ หากทำเช่นนั้น แต่ละอ็อบเจ็กต์ในบัคเก็ตหนึ่งๆ จะเป็นของเจ้าของบัคเก็ตดังกล่าว สำหรับข้อมูลเพิ่มเติม โปรดดูที่ Identity and Access Management ใน Amazon S3

ฟีเจอร์ใหม่ ๆ

สำรวจและปกป้องข้อมูลที่ละเอียดอ่อนได้ทุกระดับใน Amazon S3 ด้วย Amazon Macie Macie นำเสนอรายการบัคเก็ต S3 ครบถ้วนโดยอัตโนมัติด้วยการสแกนบัคเก็ต เพื่อระบุและจำแนกประเภทข้อมูล คุณจะได้รับผลการตรวจการรักษาความปลอดภัยที่ดำเนินการได้ ซึ่งแจกแจงข้อมูลทั้งหมดที่ตรงกับประเภทข้อมูลที่ละเอียดอ่อนดังกล่าว รวมทั้งข้อมูลที่สามารถระบุตัวตนได้ (PII) (เช่น ชื่อลูกค้าและหมายเลขบัตรเครดิต) และหมวดหมู่ตามที่กำหนดโดยข้อบังคับด้านความเป็นส่วนตัว เช่น GDPR และ HIPAA นอกจากนี้ Macie ยังประเมินมาตรการควบคุมป้องกันในระดับบัคเก็ตโดยอัตโนมัติและอย่างต่อเนื่อง สำหรับบัคเก็ตใดๆ ที่เข้ารหัส เข้าถึงได้จากสาธารณะ หรือเปิดเผยกับบัญชีนอกองค์กรของคุณ ทำให้คุณสามารถแก้ไขการตั้งค่าโดยไม่ได้ตั้งใจกับบัคเก็ตได้อย่างรวดเร็ว

Amazon S3 เข้ารหัสการอัปโหลดอ็อบเจ็กต์ทั้งหมดไปยังบัคเก็ตทั้งหมดโดยอัตโนมัติ สำหรับการอัปโหลดอ็อบเจ็กต์ Amazon S3 รองรับการเข้ารหัสฝั่งเซิร์ฟเวอร์ด้วยตัวเลือกการจัดการคีย์สี่ตัวเลือก ได้แก่ SSE-S3 (ระดับการเข้ารหัสพื้นฐาน), SSE-KMS, DSSE-KMS และ SSE-C รวมถึงการเข้ารหัสฝั่งไคลเอ็นต์ Amazon S3 ให้คุณสมบัติการรักษาความปลอดภัยที่ยืดหยุ่นได้เพื่อบล็อกไม่ให้ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลของคุณ ใช้ตำแหน่งข้อมูลสำหรับ VPC เพื่อเชื่อมต่อกับทรัพยากร S3 จาก Amazon Virtual Private Cloud (Amazon VPC) ของคุณ ใช้ S3 Inventory เพื่อตรวจสอบสถานะการเข้ารหัสของอ็อบเจ็กต์ S3 ของคุณ (ดูข้อมูลเพิ่มเติมเกี่ยวกับ S3 Inventory ได้ที่การจัดการพื้นที่จัดเก็บ)

วิดีโอ: ภาพรวมการเข้ารหัสข้อมูลของ Amazon S3 »

Trusted Advisor ตรวจสอบสภาพแวดล้อม AWS ของคุณ แล้วสร้างข้อเสนอแนะเมื่อมีโอกาส เพื่ออุดช่องโหว่ด้านการรักษาความปลอดภัย 

Trusted Advisor มีการตรวจสอบที่เกี่ยวข้องกับ Amazon S3 ดังนี้ การกำหนดค่าการลงบันทึกของบัคเก็ต Amazon S3, การตรวจสอบการรักษาความปลอดภัยสำหรับบัคเก็ต Amazon S3 ที่มีสิทธิ์เข้าถึงแบบเปิด และการตรวจสอบความคงทนต่อข้อบกพร่องสำหรับบัคเก็ต Amazon S3 ที่ไม่ได้เปิดใช้งานการกำหนดเวอร์ชัน หรือระงับการกำหนดเวอร์ชันเอาไว้

เข้าถึง Amazon S3 โดยตรงในแบบตำแหน่งข้อมูลส่วนตัวภายในเครือข่ายเสมือนที่ปลอดภัยของคุณด้วย AWS PrivateLink for S3 ลดความซับซ้อนของสถาปัตยกรรมเครือข่ายโดยเชื่อมต่อไปยัง S3 จากในองค์กรหรือระบบคลาวด์โดยใช้ที่อยู่ IP ส่วนตัวจาก Virtual Private Cloud (VPC) คุณไม่จำเป็นต้องใช้ IP สาธารณะ, กำหนดค่ากฎของไฟร์วอลล์ หรือกำหนดค่าอินเทอร์เน็ตเกตเวย์เพื่อเข้าถึง S3 จากในองค์กรอีกต่อไป

มีอัลกอริทึม Checksum ที่รองรับให้เลือกใช้ถึง 4 แบบ (ได้แก่ SHA-1, SHA-256, CRC32 และ CRC32C) เพื่อตรวจสอบความสมบูรณ์ของข้อมูลในคำขออัปโหลดและดาวน์โหลดของคุณ โดยสามารถคำนวณและตรวจสอบ Checksum โดยอัตโนมัติเมื่อคุณจัดเก็บหรือดึงข้อมูลจาก Amazon S3 และเข้าถึงข้อมูล Checksum ได้ทุกเมื่อโดยใช้ GetObjectAttributes S3 API หรือรายงาน S3 Inventory

บทช่วยสอนการเริ่มต้นใช้งานการตรวจสอบความสมบูรณ์ของข้อมูล S3

หัวข้อการเสวนาเชิงเทคนิค: เริ่มต้นใช้ Checksum ใน Amazon S3 เพื่อตรวจสอบความสมบูรณ์ของข้อมูล

บล็อก: การสร้าง Checksum ที่ปรับขนาดได้

บล็อก: การเปิดใช้งานและตรวจสอบ Checksum เพิ่มเติมบนอ็อบเจ็กต์ที่มีอยู่ใน Amazon S3

วิธีการทำงาน

  • AWS PrivateLink for Amazon S3

  • สร้างการเชื่อมต่อส่วนตัวโดยตรงจากในองค์กรไปยัง Amazon S3 หากต้องการเริ่มต้นใช้งาน โปรดอ่านเอกสารประกอบ AWS PrivateLink for S3 

    การรักษาความปลอดภัยด้วย AWS PrivateLink for S3
  • Amazon Macie

  • ค้นหาและปกป้องข้อมูลที่ละเอียดอ่อนของคุณในทุกระดับ หากต้องการเริ่มต้นใช้งาน Amazon Macie โปรดไปที่เว็บไซต์

    การรักษาความปลอดภัยด้วย Amazon Macie
  • S3 Block Public Access

  • บล็อกการเข้าถึงข้อมูล Amazon S3 ของคุณจากสาธารณะทั้งในปัจจุบันและในอนาคต ดูข้อมูลเพิ่มเติมเกี่ยวกับ S3 Block Public Access ได้โดยไปที่เว็บเพจ

    รักษาความปลอดภัยด้วย S3 Block Public Access
  • Amazon GuardDuty for S3

  • ปกป้องข้อมูล Amazon S3 ของคุณด้วยการตรวจจับภัยคุกคามอัจฉริยะและการเฝ้าติดตามอย่างต่อเนื่อง และการสแกนมัลแวร์ เรียนรู้เพิ่มเติมเกี่ยวกับ Amazon GuardDuty for Amazon S3 ได้โดยไปที่เว็บเพจ

    การรักษาความปลอดภัยด้วย Amazon GuardDuty for S3

ทรัพยากร

โพสต์บล็อก