HAQM S3 Güvenlik ve Erişim Yönetimi

Benzersiz güvenlik, uygunluk ve denetim özellikleri

Bilgi görseli: S3 güvenlik ve erişim yönetimi
S3 en iyi güvenlik uygulamaları ve belgeleri

Genel Bakış

Verilerinizi HAQM S3'te depolayın ve gerek şifreleme özellikleri gerekse erişim yönetimi araçları ile yetkisiz erişimden koruyun. S3, tüm klasörlere yapılan tüm nesne yüklemelerini şifreler. S3, S3 Genel Erişimi Engelleme ile bucket veya hesap düzeyinde tüm nesnelerinize genel erişimi engellemenizi sağlayan tek nesne depolama hizmetidir. S3, mevzuat gerekliliklerini karşılamanıza yardımcı olmak için PCI-DSS, HIPAA/HITECH, FedRAMP, AB Veri Koruma Direktifi ve FISMA gibi uygunluk programlarını yürütür. AWS, S3 kaynaklarınıza erişim isteklerinin izlenmesine yönelik çok sayıda denetim özelliğini de destekler.

HAQM S3 güvenlik ve erişim yönetimi

Kullanıcılar, HAQM S3 içinde verilerini koruyabilmek için varsayılan olarak sadece oluşturdukları S3 kaynaklarına erişim hakkına sahiptir. Diğer kullanıcılara şu erişim yönetimi özelliklerinden birini tek başına veya bu özelliklerin birden fazlasını aynı anda kullanarak erişim hakkı tanıyabilirsiniz: kullanıcı oluşturmak ve oluşturulan kullanıcıların erişimlerini yönetmek için AWS Kimlik ve Erişim Yönetimi (IAM), belirli nesneleri yetkilendirilmiş kullanıcıların erişimine açmak için Erişim Denetimi Listeleri (ACL'ler), tek bir S3 bucket'ı içindeki tüm nesnelere yönelik izinleri yapılandırmak için bucket politikaları ve geçici URL'ler kullanarak diğer kullanıcılara zaman kısıtlamalı erişim hakkı tanımak için Sorgu Dizesi Kimlik Doğrulaması. HAQM S3, S3 kaynaklarınızla ilgili olarak kimlerin hangi verilere erişimi olduğu konusunda tam bir görünürlük sağlamaya yönelik istekleri listeleyen Denetim Günlükleri'ni de destekler.

S3 yönetim konsolunda yalnızca birkaç tıklamayla S3 Genel Erişimi Engelleme özelliğini hesabınızdaki her bir bucket'a (mevcut bucket'lar ve gelecekte oluşturulacak yeni bucket'lar dahil) uygulayabilir ve hiçbir nesneye genel erişimin olmadığından emin olabilirsiniz. Tüm yeni bucket'larda Genel Erişimi Engelleme varsayılan olarak etkinleştirilmiştir. Hesabınızdaki mevcut tüm bucket'lara erişimi kısıtlamak için hesap düzeyinde Genel Erişimi Engelleme'yi etkinleştirebilirsiniz. S3 Genel Erişimi Engelleme ayarları, genel erişime izin veren S3 izinlerini devre dışı bırakarak hesap yöneticisinin bir nesnenin nasıl eklendiğinden ya da bir bucket'ın nasıl oluşturulduğundan bağımsız olarak güvenlik yapılandırmasında varyasyonların olmasını önlemek için merkezî bir denetim ayarlamasını kolaylaştırır.

HAQM S3 Nesne Kilidi, müşteri tarafından tanımlanan bir saklama süresi boyunca nesne sürümünün silinmesini engeller ve saklama politikalarını veri koruma veya mevzuat uyumluluğu açısından ek bir katman olarak zorunlu tutmanıza olanak sağlar. İş yüklerini mevcut bir kez yaz birçok kez oku (WORM) sistemlerinden HAQM S3’e aktarabilir ve nesne sürümlerinin önceden tanımlı Saklama Son Tarihleri veya Yasal Bekletme Tarihleri öncesinde silinmesini önlemek amacıyla S3 Nesne Kilidi’ni nesne ve bucket seviyelerinde yapılandırabilirsiniz.

HAQM S3 Nesne Sahipliği, Erişim Denetimi Listelerini (ACL'ler) devre dışı bırakarak tüm nesneler için sahipliği klasör sahibine değiştirir ve S3'te depolanan veriler için erişim yönetimini basitleştirir. S3 Nesne Sahipliği'nde Bucket owner enforced (Bucket sahibi zorunlu) ayarını yapılandırdığınızda, ACL'ler bucket’ınız ve içindeki nesneler için izinleri artık etkilemeyecektir. Tüm erişim denetimi; kaynak temelli politikaların, kullanıcı politikalarının ve bunların bazı kombinasyonlarının kullanımıyla tanımlanacaktır. ACL'ler yeni bucket'lar için otomatik olarak devre dışı bırakılır. IAM tabanlı bucket politikalarına geçiş yaparken S3 Nesne Sahipliği'ni etkinleştirmeden önce bucket'larınızdaki ACL kullanımını gözden geçirmek için S3 Envanteri'ni kullanabilirsiniz. Daha fazla bilgi için bkz. Nesne Sahipliğini Denetleme.

Tüm HAQM S3 kaynakları (klasörler, nesneler ve ilgili alt kaynaklar) özeldir: Sadece kaynak sahibinin oluşturduğu bir AWS hesabı bu kaynaklara erişebilir. HAQM S3, kaynak tabanlı politikalar ve kullanıcı politikaları olarak kategorize edilen erişim politikası opsiyonlarını sunmaktadır. HAQM S3 kaynaklarınıza izin vermek için kaynak tabanlı politikaları, kullanıcı politikalarını ya da bunların bir kombinasyonunu kullanabilirsiniz. Bir S3 nesnesi varsayılan olarak, bu hesabın klasör sahibinden farklı olduğu durumlar da dâhil olmak üzere nesneyi oluşturan hesaba aittir. S3 Nesne Sahipliği'ni kullanarak Erişim Denetimi Listelerini devre dışı bırakabilir ve bu davranışı değiştirebilirsiniz. Bu durumda, bucket'taki her bir nesne bucket sahibine ait olur. Daha fazla bilgi için bkz. HAQM S3'te kimlik ve erişim yönetimi.

Daha fazla özellik

HAQM Macie ile HAQM S3'te hassas verilerinizi büyük ölçekte keşfedin ve koruyun. Macie, verileri tanımlamak ve kategorize etmek için S3 klasörlerinin tam envanterini size otomatik olarak sunar. Örneğin, kimliği tanımlayabilecek bilgiler (PII) (ör. müşteri isimleri ve kredi kartı numaraları) gibi hassas veri türlerine ve GDPR ve HIPAA gibi mahremiyet mevzuatlarınca tanımlanan kategorilere uyan tüm verileri numaralandıran güvenlik bulguları elde edersiniz. Macie ayrıca şifrelenmemiş, kamuya açık ya da örgütünüz dışındaki hesaplarla paylaşılmış olan tüm klasörler için klasör seviyesinde önleyici kontrolleri otomatik ve sürekli olarak değerlendirir ve size de klasörlerdeki istenmeyen ayarlara hızlıca ulaşma imkânı tanır.

HAQM S3, tüm bucket'lara yapılan tüm nesne yüklemelerini otomatik olarak şifreler. HAQM S3, nesne yüklemeleri için dört anahtar yönetim seçeneğiyle sunucu tarafı şifrelemeyi destekler: SSE-S3 (temel şifreleme düzeyi), SSE-KMS, DSSE-KMS, SSE-C ve ayrıca istemci tarafı şifreleme. HAQM S3, yetkisiz kullanıcıların verilerinize erişmesini engelleyen esnek güvenlik özellikleri sunar. HAQM Sanal Özel Bulut (HAQM VPC) ortamınızdan HAQM S3 kaynaklarınıza VPC uç noktalarını kullanarak bağlanabilirsiniz. S3 nesnelerinizin şifreleme durumunu kontrol etmek için S3 Envanteri'ni kullanın (S3 Envanteri hakkında daha fazla bilgi için depolama yönetimine başvurun).

Video: HAQM S3 veri şifrelemesine genel bakış »

Güvenilir Danışman, AWS ortamınızı inceler ve daha sonra güvenlik açıklarınızı kapatmak üzere fırsatlar doğduğunda önerilerde bulunur. 

Güvenilir Danışman, HAQM S3 ile ilişkili şu kontrollere sahiptir: HAQM S3 klasörlerine yönelik günlük kaydı yapılandırması, açık erişim izinlerine sahip HAQM S3 klasörleri için güvenlik kontrolleri ve sürüm oluşturmaya sahip olmayan ya da sürüm oluşturma özelliği askıya alınmış olan HAQM S3 klasörleri için hata toleransı kontrolleri.

S3 İçin AWS PrivateLink ile HAQM S3'e güvenli, sanal ağınız içindeki özel bir uç nokta olarak doğrudan erişin. Sanal Özel Bulut’unuzdaki (VPC) özel IP adreslerini kullanarak şirket içinden veya bulutta S3'e bağlanarak ağ mimarinizi basitleştirin. Artık şirket içinden S3'e erişmek için genel IP'ler kullanmanıza, güvenlik duvarı kurallarını değiştirmenize veya bir internet ağ geçidi yapılandırmanıza gerek yok.

Yükleme ve indirme isteklerinizde veri bütünlüğünü kontrol etmek için desteklenen dört sağlama toplamı algoritması (SHA-1, SHA-256, CRC32 veya CRC32C) arasından seçim yapın. Verileri HAQM S3'te depolar veya HAQM S3'ten alırken sağlama toplamlarını otomatik olarak hesaplayıp doğrulayın ve GetObjectAttributes S3 API'sini ya da S3 Inventory raporunu kullanarak istediğiniz zaman sağlama toplamı bilgilerine erişin.

S3 veri bütünlüğü kontrolünü kullanmaya başlama öğreticisi

Teknoloji Konuşması: HAQM S3'te veri bütünlüğü denetimi için sağlama toplamlarını kullanmaya başlayın

Blog: Ölçeklenebilir sağlama toplamları oluşturma

Blog: HAQM S3'teki mevcut nesnelerde ek sağlama toplamlarını etkinleştirme ve doğrulama

Nasıl çalışır?