การรักษาความปลอดภัยและการจัดการสิทธิ์เข้าถึงของ HAQM S3

การรักษาความปลอดภัย การปฏิบัติตามข้อกำหนด และความสามารถในการตรวจสอบที่เหนือชั้น

อินโฟกราฟิก: "การรักษาความปลอดภัยและการจัดการสิทธิ์เข้าถึงของ S3"
แนวทางการปฏิบัติที่ดีที่สุดและเอกสารประกอบสำหรับความปลอดภัยของ S3

ภาพรวม

จัดเก็บข้อมูลใน HAQM S3 และป้องกันการเข้าถึงที่ไม่ได้รับอนุญาตด้วยคุณสมบัติการเข้ารหัสและเครื่องมือจัดการการเข้าถึง S3 เข้ารหัสการอัปโหลดออบเจกต์ทั้งหมดไปยังบัคเก็ตทั้งหมด S3 เป็นบริการพื้นที่จัดเก็บวัตถุเพียงแห่งเดียวที่ให้คุณบล็อกการเข้าถึงแบบสาธารณะให้กับวัตถุทั้งหมดของคุณในบัคเก็ต หรือระดับบัญชีที่มีการบล็อกการเข้าถึงแบบสาธารณะของ S3 S3 จะรักษาโปรแกรมการปฏิบัติตามข้อกำหนด เช่น PCI-DSS, HIPAA/HITECH, FedRAMP, Eu Data Protection Directive และ FISMA เพื่อช่วยให้คุณมีคุณสมบัติตรงตามข้อกำหนด นอกจากนี้ AWS ยังสนับสนุนความสามารถในการตรวจสอบที่หลากหลาย เพื่อติดตามคำขอเข้าถึงทรัพยากร S3 ของคุณ

การรักษาความปลอดภัยและการจัดการสิทธิ์เข้าถึงของ HAQM S3

เพื่อปกป้องข้อมูลของคุณใน HAQM S3 ตามค่าเริ่มต้นแล้ว ผู้ใช้จะมีสิทธิ์เข้าถึงทรัพยากร S3 ที่ตนสร้างขึ้นเท่านั้น คุณสามารถมอบสิทธิ์เข้าถึงให้แก่ผู้ใช้รายอื่นได้โดยใช้คุณสมบัติต่อไปนี้ในการจัดการสิทธิ์เข้าถึง: AWS Identity and Access Management (IAM) เพื่อสร้างผู้ใช้และจัดการสิทธิ์เข้าถึงที่เกี่ยวข้อง รายการควบคุมสิทธิ์เข้าถึง (ACL) เพื่อทำให้ผู้ใช้ที่ได้รับอนุญาตสามารถเข้าถึงอ็อบเจ็กต์แต่ละรายการได้ นโยบายบัคเก็ต เพื่อกำหนดค่าสิทธิ์การใช้งานสำหรับอ็อบเจ็กต์ทั้งหมดภายในบัคเก็ต S3 เดียว และการตรวจสอบความถูกต้องของสตริงสืบค้น เพื่อมอบสิทธิ์เข้าถึงแบบจำกัดเวลาให้กับผู้อื่นด้วย URL ชั่วคราว นอกจากนี้ HAQM S3 ยังรองรับบันทึกการตรวจสอบที่แสดงคำขอที่ทำขึ้นสำหรับทรัพยากร S3 ของคุณเพื่อให้สามารถมองเห็นได้อย่างสมบูรณ์ว่าใครเข้าถึงข้อมูลอะไร

การคลิกเพียงไม่กี่ครั้งในคอนโซลการจัดการ S3 ก็ทำให้คุณสามารถใช้การบล็อกการเข้าถึงจากสาธารณะของ S3 กับทุกๆ บัคเก็ตในบัญชีของคุณได้แล้ว ทั้งบัคเก็ตที่มีอยู่แล้วและบัคเก็ตใหม่ใดๆ ที่สร้างขึ้นในอนาคต และช่วยให้แน่ใจได้ว่าไม่มีการเข้าถึงจากสาธารณะไปยังอ็อบเจ็กต์ใดๆ บัคเก็ตใหม่ทั้งหมดมีการเปิดการบล็อกการเข้าถึงจากสาธารณะไว้เป็นค่าเริ่มต้น หากต้องการจํากัดการเข้าถึงบัคเก็ตที่มีอยู่ทั้งหมดในบัญชี คุณสามารถเปิดใช้งานการบล็อกการเข้าถึงจากสาธารณะได้ที่ระดับบัญชี การตั้งค่าการบล็อกการเข้าถึงจากสาธารณะของ S3 จะแทนที่สิทธิ์การใช้งานของ S3 ที่อนุญาตการเข้าถึงจากสาธารณะ โดยทำให้ผู้ดูแลระบบบัญชีตั้งค่าการควบคุมจากศูนย์กลางได้ง่ายขึ้น เพื่อป้องกันรูปแบบที่แตกต่างกันในการกำหนดค่าการรักษาความปลอดภัย ไม่ว่าจะเพิ่มอ็อบเจ็กต์หรือสร้างบัคเก็ตอย่างไรก็ตาม

การล็อกออบเจ็กต์ S3 ของ HAQM ทำหน้าที่ปิดกั้นการลบเวอร์ชันอ็อบเจ็กต์ระหว่างช่วงเวลาการเก็บรักษาข้อมูลที่ลูกค้ากำหนด คุณจึงสามารถบังคับใช้นโยบายการเก็บรักษาข้อมูลไว้ได้ โดยเป็นการปกป้องข้อมูลเพิ่มขึ้นอีกหนึ่งชั้น หรือเพื่อการปฏิบัติตามข้อกำหนดตามระเบียบบังคับ คุณสามารถย้ายเวิร์กโหลดจากระบบแบบเขียนแล้วอ่านได้เท่านั้น (WORM) ที่มีอยู่ไปยัง HAQM S3 และกำหนดค่าการล็อกออบเจ็กต์ S3 ในระดับออบเจ็กต์และระดับบัคเก็ต เพื่อป้องกันการลบเวอร์ชันออบเจ็กต์ก่อนถึงวันที่สิ้นสุดการเก็บรักษาข้อมูลหรือวันที่เก็บรักษาเอกสารเพื่อการดำเนินคดีที่มีการกำหนดไว้ล่วงหน้า

HAQM S3 Object Ownership จะปิดใช้งาน Access Control List (ACL) ซึ่งจะเปลี่ยนความเป็นเจ้าของสำหรับอ็อบเจ็กต์ทั้งหมดไปให้เจ้าของบัคเก็ต และลดความซับซ้อนของการจัดการการเข้าถึงสำหรับข้อมูลที่จัดเก็บไว้ใน S3 เมื่อคุณกำหนดการตั้งค่า บังคับใช้โดยเจ้าของบัคเก็ต ที่ S3 Object Ownership แล้ว ACL จะไม่มีผลต่อสิทธิ์สำหรับบัคเก็ตของคุณและอ็อบเจ็กต์ที่อยู่ในนั้นอีกต่อไป การควบคุมการเข้าถึงทั้งหมดจะได้รับการกำหนดโดยใช้นโยบายตามทรัพยากร นโยบายผู้ใช้ หรือทั้งสองนโยบายนี้ผสมผสานกัน ACL จะถูกปิดใช้งานโดยอัตโนมัติสําหรับบัคเก็ตใหม่ คุณสามารถใช้ S3 Inventory เพื่อตรวจสอบการใช้งาน ACL ในบัคเก็ตของคุณก่อนที่จะเปิดใช้งาน S3 Object Ownership เมื่อย้ายไปยังนโยบายบัคเก็ตที่ใช้ IAM สำหรับข้อมูลเพิ่มเติม โปรดดูที่การควบคุมความเป็นเจ้าของอ็อบเจ็กต์

ตามค่าเริ่มต้น ทรัพยากรทั้งหมดของ HAQM S3 ไม่ว่าจะเป็นบัคเก็ต อ็อบเจกต์ และทรัพยากรย่อยที่เกี่ยวข้อง เป็นทรัพยากรส่วนตัว โดยเจ้าของทรัพยากรเท่านั้น ซึ่งเป็นบัญชี AWS ที่สร้างทรัพยากรนั้น จึงจะมีสิทธิ์เข้าถึงทรัพยากรนั้นได้ HAQM S3 ให้ตัวเลือกนโยบายการเข้าถึงโดยจำแนกประเภทกว้างๆ ตามนโยบายเกี่ยวกับทรัพยากรและนโยบายเกี่ยวกับผู้ใช้ คุณสามารถเลือกที่จะใช้นโยบายตามทรัพยากร นโยบายผู้ใช้ หรือทั้งสองนโยบายนี้ผสมผสานกันเพื่อจัดการสิทธิ์การใช้งานทรัพยากร HAQM S3 ของคุณ ตามค่าเริ่มต้น อ็อบเจ็กต์ S3 จะเป็นของบัญชีที่สร้างอ็อบเจ็กต์นั้นขึ้นมา ซึ่งรวมถึงกรณีที่บัญชีนี้ไม่ใช่เจ้าของบัคเก็ตด้วย คุณสามารถใช้ S3 Object Ownership เพื่อปิดใช้งาน Access Control List และเปลี่ยนแปลงลักษณะการทำงานนี้ได้ หากทำเช่นนั้น แต่ละอ็อบเจ็กต์ในบัคเก็ตหนึ่งๆ จะเป็นของเจ้าของบัคเก็ตดังกล่าว สำหรับข้อมูลเพิ่มเติม โปรดดูที่ Identity and Access Management ใน HAQM S3

ฟีเจอร์ใหม่ ๆ

สำรวจและปกป้องข้อมูลที่ละเอียดอ่อนได้ทุกระดับใน HAQM S3 ด้วย HAQM Macie Macie นำเสนอรายการบัคเก็ต S3 ครบถ้วนโดยอัตโนมัติด้วยการสแกนบัคเก็ต เพื่อระบุและจำแนกประเภทข้อมูล คุณจะได้รับผลการตรวจการรักษาความปลอดภัยที่ดำเนินการได้ ซึ่งแจกแจงข้อมูลทั้งหมดที่ตรงกับประเภทข้อมูลที่ละเอียดอ่อนดังกล่าว รวมทั้งข้อมูลที่สามารถระบุตัวตนได้ (PII) (เช่น ชื่อลูกค้าและหมายเลขบัตรเครดิต) และหมวดหมู่ตามที่กำหนดโดยข้อบังคับด้านความเป็นส่วนตัว เช่น GDPR และ HIPAA นอกจากนี้ Macie ยังประเมินมาตรการควบคุมป้องกันในระดับบัคเก็ตโดยอัตโนมัติและอย่างต่อเนื่อง สำหรับบัคเก็ตใดๆ ที่เข้ารหัส เข้าถึงได้จากสาธารณะ หรือเปิดเผยกับบัญชีนอกองค์กรของคุณ ทำให้คุณสามารถแก้ไขการตั้งค่าโดยไม่ได้ตั้งใจกับบัคเก็ตได้อย่างรวดเร็ว

HAQM S3 เข้ารหัสการอัปโหลดอ็อบเจ็กต์ทั้งหมดไปยังบัคเก็ตทั้งหมดโดยอัตโนมัติ สำหรับการอัปโหลดอ็อบเจ็กต์ HAQM S3 รองรับการเข้ารหัสฝั่งเซิร์ฟเวอร์ด้วยตัวเลือกการจัดการคีย์สี่ตัวเลือก ได้แก่ SSE-S3 (ระดับการเข้ารหัสพื้นฐาน), SSE-KMS, DSSE-KMS และ SSE-C รวมถึงการเข้ารหัสฝั่งไคลเอ็นต์ HAQM S3 ให้คุณสมบัติการรักษาความปลอดภัยที่ยืดหยุ่นได้เพื่อบล็อกไม่ให้ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลของคุณ ใช้ตำแหน่งข้อมูลสำหรับ VPC เพื่อเชื่อมต่อกับทรัพยากร S3 จาก HAQM Virtual Private Cloud (HAQM VPC) ของคุณ ใช้ S3 Inventory เพื่อตรวจสอบสถานะการเข้ารหัสของอ็อบเจ็กต์ S3 ของคุณ (ดูข้อมูลเพิ่มเติมเกี่ยวกับ S3 Inventory ได้ที่การจัดการพื้นที่จัดเก็บ)

วิดีโอ: ภาพรวมการเข้ารหัสข้อมูลของ HAQM S3 »

Trusted Advisor ตรวจสอบสภาพแวดล้อม AWS ของคุณ แล้วสร้างข้อเสนอแนะเมื่อมีโอกาส เพื่ออุดช่องโหว่ด้านการรักษาความปลอดภัย 

Trusted Advisor มีการตรวจสอบที่เกี่ยวข้องกับ HAQM S3 ดังนี้ การกำหนดค่าการลงบันทึกของบัคเก็ต HAQM S3, การตรวจสอบการรักษาความปลอดภัยสำหรับบัคเก็ต HAQM S3 ที่มีสิทธิ์เข้าถึงแบบเปิด และการตรวจสอบความคงทนต่อข้อบกพร่องสำหรับบัคเก็ต HAQM S3 ที่ไม่ได้เปิดใช้งานการกำหนดเวอร์ชัน หรือระงับการกำหนดเวอร์ชันเอาไว้

เข้าถึง HAQM S3 โดยตรงในแบบตำแหน่งข้อมูลส่วนตัวภายในเครือข่ายเสมือนที่ปลอดภัยของคุณด้วย AWS PrivateLink for S3 ลดความซับซ้อนของสถาปัตยกรรมเครือข่ายโดยเชื่อมต่อไปยัง S3 จากในองค์กรหรือระบบคลาวด์โดยใช้ที่อยู่ IP ส่วนตัวจาก Virtual Private Cloud (VPC) คุณไม่จำเป็นต้องใช้ IP สาธารณะ, กำหนดค่ากฎของไฟร์วอลล์ หรือกำหนดค่าอินเทอร์เน็ตเกตเวย์เพื่อเข้าถึง S3 จากในองค์กรอีกต่อไป

มีอัลกอริทึม Checksum ที่รองรับให้เลือกใช้ถึง 4 แบบ (ได้แก่ SHA-1, SHA-256, CRC32 และ CRC32C) เพื่อตรวจสอบความสมบูรณ์ของข้อมูลในคำขออัปโหลดและดาวน์โหลดของคุณ โดยสามารถคำนวณและตรวจสอบ Checksum โดยอัตโนมัติเมื่อคุณจัดเก็บหรือดึงข้อมูลจาก HAQM S3 และเข้าถึงข้อมูล Checksum ได้ทุกเมื่อโดยใช้ GetObjectAttributes S3 API หรือรายงาน S3 Inventory

บทช่วยสอนการเริ่มต้นใช้งานการตรวจสอบความสมบูรณ์ของข้อมูล S3

หัวข้อการเสวนาเชิงเทคนิค: เริ่มต้นใช้ Checksum ใน HAQM S3 เพื่อตรวจสอบความสมบูรณ์ของข้อมูล

บล็อก: การสร้าง Checksum ที่ปรับขนาดได้

บล็อก: การเปิดใช้งานและตรวจสอบ Checksum เพิ่มเติมบนอ็อบเจ็กต์ที่มีอยู่ใน HAQM S3

วิธีการทำงาน

  • AWS PrivateLink for HAQM S3

  • สร้างการเชื่อมต่อส่วนตัวโดยตรงจากในองค์กรไปยัง HAQM S3 หากต้องการเริ่มต้นใช้งาน โปรดอ่านเอกสารประกอบ AWS PrivateLink for S3 

    การรักษาความปลอดภัยด้วย AWS PrivateLink for S3
  • HAQM Macie

  • ค้นหาและปกป้องข้อมูลที่ละเอียดอ่อนของคุณในทุกระดับ หากต้องการเริ่มต้นใช้งาน HAQM Macie โปรดไปที่เว็บไซต์

    การรักษาความปลอดภัยด้วย HAQM Macie
  • S3 Block Public Access

  • บล็อกการเข้าถึงข้อมูล HAQM S3 ของคุณจากสาธารณะทั้งในปัจจุบันและในอนาคต ดูข้อมูลเพิ่มเติมเกี่ยวกับ S3 Block Public Access ได้โดยไปที่เว็บเพจ

    รักษาความปลอดภัยด้วย S3 Block Public Access
  • HAQM GuardDuty for S3

  • ปกป้องข้อมูล HAQM S3 ของคุณด้วยการตรวจจับภัยคุกคามอัจฉริยะและการเฝ้าติดตามอย่างต่อเนื่อง และการสแกนมัลแวร์ เรียนรู้เพิ่มเติมเกี่ยวกับ HAQM GuardDuty for HAQM S3 ได้โดยไปที่เว็บเพจ

    การรักษาความปลอดภัยด้วย HAQM GuardDuty for S3

ทรัพยากร

โพสต์บล็อก