Benzersiz güvenlik, mevzuat uyumluluğu ve denetim özellikleri
Verilerinizi Amazon S3'te depolayın ve gerek şifreleme özellikleri gerekse erişim yönetimi araçları ile yetkisiz erişimden koruyun. S3, tüm klasörlere yapılan tüm nesne yüklemelerini şifreler. S3, S3 Genel Erişimi Engelleme ile klasör veya hesap düzeyinde tüm nesnelerinize genel erişimi engellemenizi sağlayan tek nesne depolama hizmetidir. S3, mevzuat gerekliliklerini karşılamanıza yardımcı olmak için PCI-DSS, HIPAA/HITECH, FedRAMP, AB Veri Koruma Direktifi ve FISMA gibi uygunluk programlarını yürütür. AWS, S3 kaynaklarınıza erişim isteklerinin izlenmesine yönelik çok sayıda denetim özelliğini de destekler.
Amazon S3 güvenlik ve erişim yönetimi
Kullanıcılar, Amazon S3 içinde verilerini koruyabilmek için varsayılan olarak sadece oluşturdukları S3 kaynaklarına erişim hakkına sahiptir. Diğer kullanıcılara aşağıdaki erişim yönetimi özelliklerinden birini tek başına veya bu özelliklerin birden fazlasını aynı anda kullanarak erişim hakkı tanıyabilirsiniz: kullanıcı oluşturmak ve oluşturulan kullanıcıların erişimlerini yönetmek için AWS Identity and Access Management (IAM); belirli nesneleri yetkilendirilmiş kullanıcıların erişimine açmak için Erişim Denetimi Listeleri (ACL'ler); tek bir S3 klasörü içindeki tüm nesnelere yönelik izinleri yapılandırmak için klasör politikaları; ve geçici URL'ler kullanarak diğer kullanıcılara zaman kısıtlamalı erişim hakkı tanımak için Sorgu Dizesi Kimlik Doğrulaması. Amazon S3, S3 kaynaklarınızla ilgili olarak kimlerin hangi verilere erişimi olduğu konusunda tam bir görünürlük sağlamaya yönelik istekleri listeleyen Denetim Günlükleri'ni de destekler.
S3 Genel Erişimi Engelleme
S3 yönetim konsolunda yalnızca birkaç tıklamayla S3 Genel Erişimi Engelleme özelliğini hesabınızdaki her bir bucket'a (mevcut bucket'lar ve gelecekte oluşturulacak yeni bucket'lar dâhil) uygulayabilir ve hiçbir nesneye genel erişimin olmadığından emin olabilirsiniz. Tüm yeni bucket'larda Genel Erişimi Engelleme varsayılan olarak etkinleştirilmiştir. Hesabınızdaki mevcut tüm bucket'lara erişimi kısıtlamak için hesap düzeyinde Genel Erişimi Engelleme'yi etkinleştirebilirsiniz. S3 Genel Erişimi Engelleme ayarları, genel erişime izin veren S3 izinlerini devre dışı bırakarak hesap yöneticisinin bir nesnenin nasıl eklendiğinden ya da bir bucket'ın nasıl oluşturulduğundan bağımsız olarak güvenlik yapılandırmasında varyasyonların olmasını önlemek için merkezî bir denetim ayarlamasını kolaylaştırır.
S3 Nesne Kilidi
Amazon S3 Nesne Kilidi, müşteri tarafından tanımlanan bir saklama süresi boyunca nesne sürümünün silinmesini engeller ve saklama politikalarını veri koruma veya mevzuat uyumluluğu açısından ek bir katman olarak zorunlu tutmanıza olanak sağlar. İş yüklerini mevcut bir kez yaz birçok kez oku (WORM) sistemlerinden Amazon S3’e aktarabilir ve nesne sürümlerinin önceden tanımlı Saklama Son Tarihleri veya Yasal Bekletme Tarihleri öncesinde silinmesini önlemek amacıyla S3 Nesne Kilidi’ni nesne ve bucket seviyelerinde yapılandırabilirsiniz.
S3 Nesne Sahipliği
Amazon S3 Nesne Sahipliği, Erişim Denetimi Listelerini (ACL'ler) devre dışı bırakarak tüm nesneler için sahipliği klasör sahibine değiştirir ve S3'te depolanan veriler için erişim yönetimini basitleştirir. S3 Nesne Sahipliği'nde Bucket owner enforced (Klasör sahibi zorunlu) ayarını yapılandırdığınızda, ACL'ler klasörünüz ve içindeki nesneler için izinleri artık etkilemeyecektir. Tüm erişim denetimi; kaynak temelli politikaların, kullanıcı politikalarının ve bunların bazı kombinasyonlarının kullanımıyla tanımlanacaktır. ACL'ler yeni bucket'lar için otomatik olarak devre dışı bırakılır. IAM tabanlı bucket politikalarına geçiş yaparken S3 Nesne Sahipliği'ni etkinleştirmeden önce bucket'larınızdaki ACL kullanımını gözden geçirmek için S3 Envanteri'ni kullanabilirsiniz. Daha fazla bilgi için bk. Nesne Sahipliğini Denetleme.
Kimlik ve Erişim Yönetimi
Tüm Amazon S3 kaynakları (klasörler, nesneler ve ilgili alt kaynaklar) özeldir: Sadece kaynak sahibinin oluşturduğu bir AWS hesabı bu kaynaklara erişebilir. Amazon S3, kaynak tabanlı politikalar ve kullanıcı politikaları olarak kategorize edilen erişim politikası opsiyonlarını sunmaktadır. Amazon S3 kaynaklarınıza izin vermek için kaynak tabanlı politikaları, kullanıcı politikalarını ya da bunların bir kombinasyonunu kullanabilirsiniz. Bir S3 nesnesi varsayılan olarak, bu hesabın klasör sahibinden farklı olduğu durumlar da dâhil olmak üzere nesneyi oluşturan hesaba aittir. S3 Nesne Sahipliği'ni kullanarak Erişim Denetimi Listelerini devre dışı bırakabilir ve bu davranışı değiştirebilirsiniz. Bu durumda, klasördeki her bir nesne klasör sahibine ait olur. Daha fazla bilgi için bk. Amazon S3'te kimlik ve erişim yönetimi.
Amazon Macie
Amazon Macie ile Amazon S3’te hassas verilerinizi uygun ölçekte keşfedin ve koruyun. Macie, verileri tanımlamak ve kategorize etmek için S3 klasörlerinin tam envanterini size otomatik olarak sunar. Örneğin, kimliği tanımlayabilecek bilgiler (PII) (ör. müşteri isimleri ve kredi kartı numaraları) gibi hassas veri türlerine ve GDPR ve HIPAA gibi mahremiyet mevzuatlarınca tanımlanan kategorilere uyan tüm verileri numaralandıran güvenlik bulguları elde edersiniz. Macie ayrıca şifrelenmemiş, kamuya açık ya da örgütünüz dışındaki hesaplarla paylaşılmış olan tüm klasörler için klasör seviyesinde önleyici kontrolleri otomatik ve sürekli olarak değerlendirir ve size de klasörlerdeki istenmeyen ayarlara hızlıca ulaşma imkânı tanır.
Şifreleme
Amazon S3, tüm bucket'lara yapılan tüm nesne yüklemelerini otomatik olarak şifreler. Amazon S3, nesne yüklemeleri için dört anahtar yönetim seçeneğiyle sunucu tarafı şifrelemeyi destekler: SSE-S3 (temel şifreleme düzeyi), SSE-KMS, DSSE-KMS, SSE-C ve ayrıca istemci tarafı şifreleme. Amazon S3, yetkisiz kullanıcıların verilerinize erişmesini engelleyen esnek güvenlik özellikleri sunar. Amazon Sanal Özel Bulut (Amazon VPC) ortamınızdan Amazon S3 kaynaklarınıza VPC uç noktalarını kullanarak bağlanabilirsiniz. S3 nesnelerinizin şifreleme durumunu kontrol etmek için S3 Envanteri'ni kullanın (S3 Envanteri hakkında daha fazla bilgi için depolama yönetimine başvurun).
AWS Güvenilir Danışman
Güvenilir Danışman, AWS ortamınızı inceler ve daha sonra güvenlik açıklarınızı kapatmak üzere fırsatlar doğduğunda önerilerde bulunur.
Güvenilir Danışman, Amazon S3 ile ilişkili şu kontrollere sahiptir: Amazon S3 klasörlerine yönelik günlük kaydı yapılandırması, açık erişim izinlerine sahip Amazon S3 klasörleri için güvenlik kontrolleri ve sürüm oluşturmaya sahip olmayan ya da sürüm oluşturma özelliği askıya alınmış olan Amazon S3 klasörleri için hata toleransı kontrolleri.
S3 İçin AWS PrivateLink
S3 İçin AWS PrivateLink ile Amazon S3'e güvenli, sanal ağınız içindeki özel bir uç nokta olarak doğrudan erişin. Sanal Özel Bulut’unuzdaki (VPC) özel IP adreslerini kullanarak şirket içinden veya bulutta S3'e bağlanarak ağ mimarinizi basitleştirin. Artık şirket içinden S3'e erişmek için genel IP'ler kullanmanıza, güvenlik duvarı kurallarını değiştirmenize veya bir internet ağ geçidi yapılandırmanıza gerek yok.
Veri bütünlüğünü doğrulayın
Yükleme ve indirme isteklerinizde veri bütünlüğünü kontrol etmek için desteklenen dört sağlama toplamı algoritması (SHA-1, SHA-256, CRC32 veya CRC32C) arasından seçim yapın. Verileri Amazon S3'te depolar veya Amazon S3'ten alırken sağlama toplamlarını otomatik olarak hesaplayıp doğrulayın ve GetObjectAttributes S3 API'sini ya da S3 Inventory raporunu kullanarak istediğiniz zaman sağlama toplamı bilgilerine erişin.
Nasıl çalışır?
-
Amazon S3 İçin AWS PrivateLink
-
Amazon Macie
-
S3 Genel Erişimi Engelleme
-
S3 İçin Amazon GuardDuty
-
Amazon S3 İçin AWS PrivateLink
-
Şirket içinden Amazon S3 ile doğrudan özel bağlantı kurun. Kullanmaya başlamak için lütfen S3 İçin AWS PrivateLink belgesini okuyun.
-
Amazon Macie
-
Hassas verilerinizi uygun ölçekte keşfedin ve koruyun. Amazon Macie'yi kullanmaya başlamak için web sitesini ziyaret edin.
-
S3 Genel Erişimi Engelleme
-
Şimdi ve gelecekte Amazon S3'e tüm genel erişimi engelleyin. S3 Genel Erişimi Engelleme hakkında daha fazla bilgi edinmek için web sayfasını ziyaret edin.
-
S3 İçin Amazon GuardDuty
-
Akıllı tehdit algılama, sürekli izleme ve kötü amaçlı yazılım taraması ile Amazon S3 verilerinizi koruyun. Amazon S3 İçin Amazon GuardDuty hakkında daha fazla bilgi edinmek için web sayfasını ziyaret edin.
Amazon S3 güvenlik, erişim yönetimi, şifreleme ve veri koruma kaynakları
Erişim yönetimi, denetim ve izleme, ayrıca veri korumasına ilişkin araçları ve en iyi uygulamaları öğrenmek için Amazon S3 Güvenlik ve Veri Koruması E-kitabı'nı okuyun.
Bu Amazon S3 veri korumasına genel bakış videosunda S3 Sürüm Oluşturma, S3 Nesne Kilidi ve S3 Çoğaltma dahil olmak üzere Amazon S3'ün kendi veri koruma özellikleri hakkında bilgi edineceksiniz. Bu S3 veri koruma özelliklerinin her birine genel hatlarıyla kısaca bakacak, bu özelliklerin veri koruma hedeflerinize ulaşmanıza nasıl yardımcı olacağını öğrenecek ve Amazon S3 kullanarak verilerinizi nasıl koruyacağınıza dair faydalı ipuçları edineceksiniz.
Kurumlar sürekli olarak işletme açısından kritik dijital varlıklar oluşturuyor ve bunları Amazon S3'e geçiriyor. Varlıklar iş akışları arasında geçirildikçe ve kullanıldıkça, dosyaların ağdaki bozulmalar, sabit disk arızaları veya diğer istenmeyen sorunlar tarafından değiştirilmediğinden emin olmak büyük önem taşır. Bu amaçla algoritmalar kullanılarak dosyaların her bir baytı taranır ve sağlama toplamı adı verilen, her dosya için benzersiz bir parmak izi oluşturulur. Bu teknoloji konuşmasında, varlıkların kopyalama sırasında üzerinde değişiklik yapılmadığını doğrulamak için sağlama toplamlarını nasıl kullanacağınızı öğreneceksiniz. Verilerde bütünlük kontrolünü hızlandırmak için çok sayıda Amazon S3 sağlama toplamı seçeneğini irdeleyin ve uçtan uca veri bütünlüğünü muhafaza etmek için her baytın değişiklik olmadan aktarıldığını nasıl teyit edebileceğinizi keşfedin.
En iyi uygulamaları ve proaktif denetimleri oluşturmaya olan güçlü bağlılık, depolama alanı güvenliği ve erişim denetimlerinin temelini oluşturur. Bu videoda, Amazon S3'te veri güvenliğine yönelik en iyi uygulamaları öğrenin. Amazon S3 güvenlik mimarisinin temel bilgilerini gözden geçirerek kullanılabilirlik ve işlevsellikteki en son geliştirmeleri kapsamlı olarak inceleyin. Şifreleme, erişim denetimi, güvenlik izlemesi, denetim ve iyileştirme seçeneklerini göz önünde bulundurun.
Amazon S3, tüm bucket'lara yapılan tüm nesne yüklemelerini otomatik olarak şifreler. Amazon S3, nesne yüklemeleri için dört anahtar yönetim seçeneğiyle sunucu tarafı şifrelemeyi destekler: SSE-S3 (temel şifreleme düzeyi), SSE-KMS, DSSE-KMS, SSE-C ve ayrıca istemci tarafı şifreleme. Amazon S3, herhangi bir iş yüküne uyacak ayrıntılı erişim denetimleri sunar. Bu videoda Amazon S3 şifreleme ve erişim kontrolü en iyi uygulamalarını öğrenin.
Oluşturuldukları sırada varsayılan olarak tüm S3 kaynakları özeldir ve bunlara yalnızca kaynak sahibi veya hesap yöneticisi erişebilir. Bu güvenlik tasarımı; kurumsal, yönetişim, güvenlik ve uygunluk gereksinimleriyle uyumlu, hassas şekilde ayarlanmış erişim politikalarını yapılandırmanıza olanak tanır. Bu videoda, AWS Kimlik ve Erişim Yönetimi (IAM) ve S3 bucket politikalarını kullanarak verilerinize erişimi yönetmenin farklı yollarını öğrenin.
S3; 11 tane 9 dayanıklılığı, güçlü esneklik ve yüksek erişilebilirlik için tasarlanmıştır. Bununla birlikte, en sağlam depolama bile istenmeyen veya kazara silme işlemlerine karşı koruma sağlayamaz. Ek olarak, fidye yazılımı olayları, kritik verileriniz için ek korumayı değerlendirmenin başlıca nedenidir. S3 Sürüm Oluşturma, S3 Bölgeler Arası Çoğaltma (CRR) ve S3 Nesne Kilitleme dâhil olmak üzere ek koruma katmanları sunan S3 özellikleri hakkında bilgi edinin.
S3 Güvenliği blogları
AWS Haber Blogu
Amazon S3 yeni nesneleri varsayılan olarak şifreliyor
Amazon S3 tüm yeni nesneleri varsayılan olarak şifreliyor. 5 Ocak 2023 itibariyle S3 artık siz farklı bir şifreleme seçeneği belirtmediğiniz sürece her yeni nesneye otomatik olarak sunucu tarafı şifrelemesi (SSE-S3) uyguluyor. Bu değişiklik, performansı hiçbir şekilde etkilemeden ve sizin herhangi bir şey yapmanıza gerek kalmadan, yeni bir en iyi güvenlik uygulamasını otomatik olarak hayata geçiriyor.
AWS Haber Blogu
Dikkat: Nisan 2023'te yeni Amazon S3 güvenlik değişiklikleri geliyor
Nisan 2023'te başlamak üzere, klasör güvenliğine yönelik en son en iyi uygulamalarımızı otomatik olarak hayata geçirmek için Amazon S3'te iki değişiklik yapıyoruz. Bir hedef Bölge için bu değişiklikler hayata geçtikten sonra, Bölgede yeni oluşturulan tüm klasörler için S3 Genel Erişimi Engelleme etkin, erişim denetimi listeleri (ACL) ise devre dışı olacak.
AWS Haber Blogu
Amazon S3'te depolanan veriler için erişim yönetimini basitleştirin
Yeni Amazon S3 Nesne Sahipliği ayarı olan Bucket owner enforced (Klasör sahibi zorunlu), bir klasörle ve içindeki nesnelerle ilişkili erişim denetimi listelerinin (ACL) hepsini devre dışı bırakmanıza olanak tanır. Klasör düzeyindeki bu ayarı uyguladığınızda, klasördeki tüm nesneler klasörü oluşturan AWS hesabına ait olur ve bundan böyle erişim vermek için erişim denetimi listeleri (ACL) kullanılmaz.
AWS HABER BLOGU
Yeni – AWS Anahtar Yönetimi Hizmeti'nde Depolanan Anahtarlarla Amazon S3 Çift Katmanlı Sunucu Tarafı Şifreleme (DSSE-KMS)
Müşteriler, artık Amazon S3'teki nesnelere iki bağımsız sunucu tarafı şifreleme katmanı uygulayabilir. AWS Anahtar Yönetimi Hizmeti'nde depolanan anahtarlarla çift katmanlı sunucu tarafı şifreleme (DSSE-KMS), FIPS uyumluluğu için Ulusal Güvenlik Ajansı CNSSP 15 ve iki CNSA şifreleme katmanı için Bekleyen Veri Özelliği Paketi (DAR CP) Sürüm 5.0 kılavuzunu karşılayacak şekilde tasarlanmıştır. Amazon S3, müşterilerin nesne düzeyinde iki şifreleme katmanı uygulayabildiği ve her iki katman için kullanılan veri anahtarlarını denetleyebileceği tek bulut nesne depolama hizmetidir.
Amazon S3 özellikleri hakkında bilgi edinin.
AWS Yönetim Konsolu'nda Amazon S3 ile oluşturmaya başlayın.