Bonnes pratiques de sécurité pour Amazon S3

La propriété d’objets S3 est un paramètre Amazon S3 au niveau des compartiments que vous pouvez utiliser pour contrôler la propriété des objets qui sont chargés dans votre compartiment, ainsi que pour désactiver ou activer les listes ACL. Par défaut, Propriétaire de l’objet est défini sur le paramètre Propriétaire du compartiment appliqué, et toutes les listes ACL sont désactivées. Lorsque les listes ACL sont désactivées, le propriétaire du compartiment détient tous les objets présents dans le compartiment et gère l’accès aux données exclusivement à l’aide de politiques de gestion des accès.

La majorité des cas d’utilisation modernes dans Amazon S3 ne nécessitent plus l’utilisation de listes de contrôle d’accès (ACL). Nous vous recommandons de désactiver les listes ACL, sauf si vous devez contrôler individuellement l’accès à chaque objet. Pour désactiver les listes de contrôle d’accès et prendre possession de tous les objets de votre compartiment, appliquez le paramètre d’application du propriétaire du compartiment pour la propriété des objets S3. Lorsque vous désactivez les listes ACL, vous pouvez facilement gérer un compartiment avec des objets téléchargés par différents Comptes AWS.

Lorsque les listes ACL sont désactivées, le contrôle d’accès à vos données est basé sur des politiques telles que les suivantes :

La désactivation des ACL simplifie la gestion des autorisations et l’audit. Les listes ACL sont désactivées par défaut pour les nouveaux compartiments. Vous pouvez également désactiver les listes ACL pour les compartiments existants. Si vous avez un compartiment contenant déjà des objets, une fois que vous avez désactivé les listes ACL, les listes ACL d’objet et de compartiment ne font plus partie du processus d’évaluation des accès. Au lieu de cela, l’accès est accordé ou refusé sur la base des politiques.

Avant de désactiver les listes ACL, assurez-vous d’effectuer les opérations suivantes :

Une fois que vous avez désactivé les listes ACL, les comportements suivants se produisent :

Pour plus d’informations, consultez Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

À moins que vous ayez explicitement besoin que quiconque sur Internet puisse lire ou écrire dans votre compartiment S3, veillez à ce que votre compartiment S3 ne soit pas public. Voici quelques-unes des étapes que vous pouvez suivre pour bloquer l’accès public :

Pour plus d’informations, consultez Gestion des identités et des accès pour Amazon S3.

Les noms de compartiment doivent être uniques au sein de tous les comptes AWS de toutes les AWS d’une partition. Une fois qu’un compte AWS a créé un compartiment, le nom de ce compartiment ne peut pas être utilisé par un autre compte AWS de la même partition tant que le compartiment n’est pas supprimé.

Nous vous recommandons de créer des noms de compartiment impossibles à deviner. N’écrivez pas de code en supposant que le nom de compartiment que vous avez choisi est disponible, sauf si vous l’avez déjà créé. Une méthode pour créer des noms de compartiment impossibles à deviner consiste à ajouter un identificateur unique global (GUID) au nom de votre compartiment, par exemple, amazon-s3-demo-bucket-a1b2c3d4-5678-90ab-cdef-example11111. Pour plus d’informations, consultez Création d’un compartiment qui utilise un GUID dans son nom.

Nous vous recommandons de ne pas supprimer vos compartiments. Tous les comptes AWS sont désormais soumis à un quota par défaut de 10 000 compartiments, ce qui réduit le besoin de supprimer les compartiments vides de votre compte. Si vous supprimez un compartiment, sachez qu’un autre compte AWS de la même partition peut attribuer le nom de ce compartiment à un nouveau compartiment, qui peut donc potentiellement recevoir des demandes destinées au compartiment supprimé. Pour l’éviter, ou si vous souhaitez continuer à utiliser ce nom de compartiment, ne supprimez pas le compartiment. Nous vous recommandons de vider le compartiment et de le conserver. Au lieu de supprimer le compartiment, bloquez toutes les demandes de compartiment si nécessaire. Nous vous recommandons de vider les compartiments qui ne sont plus actifs de tous leurs objets afin de réduire vos coûts et de conserver les compartiments. Pour plus d’informations, consultez Suppression d’un compartiment à usage général.

Lorsque vous accordez des autorisations, vous décidez qui obtient quelles autorisations pour telles ou telles ressources Amazon S3. Vous activez des actions spécifiques que vous souhaitez autoriser sur ces ressources. Par conséquent, nous vous recommandons d’accorder uniquement les autorisations qui sont requises pour effectuer une tâche. L’implémentation d’un accès sur la base du moindre privilège est fondamentale pour réduire les risques en matière de sécurité et l’impact que pourraient avoir des d’erreurs ou des actes de malveillance.

Les outils suivants sont disponibles pour l’implémentation d’un accès sur la base du moindre privilège :

Pour obtenir des conseils sur ce qu’il faut prendre en compte lors du choix d’un ou plusieurs des mécanismes précédents, consultez Gestion des identités et des accès pour Amazon S3.

Pour que les applications s’exécutant sur Amazon EC2 ou d’autres Services AWS puissent accéder aux ressources Amazon S3, elles doivent inclure des informations d’identification AWS valides dans leurs demandes d’API AWS. Nous vous recommandons de ne pas stocker les informations d’identification AWS directement dans l’application ou l’instance Amazon EC2. Il s’agit d’autorisations à long terme qui ne font pas automatiquement l’objet d’une rotation et qui pourraient avoir un impact commercial important si elles étaient compromises.

À la place, utilisez un rôle IAM pour gérer des autorisations temporaires pour les applications ou services devant accéder à Amazon S3. Lorsque vous utilisez un rôle, vous n’avez pas à distribuer des informations d’identification à long terme (telles qu’un nom d’utilisateur et un mot de passe ou des clés d’accès) à une instance Amazon EC2 ou à un Service AWS comme AWS Lambda. À la place, le rôle fournit des autorisations temporaires que les applications peuvent utiliser lors d’appels à d’autres ressources AWS.

Pour plus d’informations, consultez les rubriques suivantes dans le Guide de l’utilisateur IAM :

Pour protéger des données au repos dans Amazon S3, les options suivantes sont possibles :

Vous pouvez utiliser HTTPS (TLS) pour contribuer à empêcher les assaillants potentiels d’espionner ou de manipuler le trafic réseau à l’aide d’attaques de l’homme du milieu ou d’attaques similaires. Nous vous recommandons d’autoriser uniquement les connexions chiffrées sur HTTPS (TLS) en utilisant la condition aws:SecureTransport dans vos stratégies de compartiment Amazon S3. Pour plus d’informations, consultez l’exemple de stratégie de compartiment S3 Gestion des accès en fonction des demandes HTTP ou HTTPS. Outre le refus des demandes HTTP, nous vous recommandons de configurer des alarmes Amazon CloudWatch sur tlsDetails.tlsVersion NOT EXISTS pour vous avertir en cas de tentative d’accès HTTP à votre contenu. Pour plus d’informations sur la configuration des alarmes Amazon CloudWatch, consultez Création d’alarmes CloudWatch pour les événements CloudTrail : exemples et Contenu d’un enregistrement CloudTrail dans le Guide de l’utilisateur AWS CloudTrail.

Envisagez également de mettre en œuvre des contrôles de détection continus en utilisant la règle AWS Config gérée s3-bucket-ssl-requests-only.

Avec le verrouillage des objets S3, vous pouvez stocker des objets en utilisant un modèle « Write Once Read Many » (WORM). Le verrouillage des objets S3 peut contribuer à empêcher une suppression accidentelle ou inappropriée de données. Par exemple, vous pouvez utiliser le verrouillage des objets S3 pour protéger vos journaux AWS CloudTrail.

Pour plus d’informations, consultez Verrouillage d’objets avec la fonctionnalité de verrouillage d’objet.

La gestion des versions S3 est un moyen de conserver plusieurs variantes d’un objet dans le même compartiment. Vous pouvez utiliser la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment. Le contrôle de version permet de récupérer facilement les données en cas d’actions involontaires des utilisateurs ou de défaillances des applications.

Envisagez également de mettre en œuvre des contrôles de détection continus en utilisant la règle AWS Config gérée s3-bucket-versioning-enabled.

Pour plus d’informations, consultez Conservation de plusieurs versions d’objets grâce à la gestion des versions S3.

Même si Amazon S3 stocke par défaut vos données dans plusieurs zones de disponibilité distinctes géographiquement, les exigences de conformité peuvent vous obliger à stocker les données à des distances encore plus importantes. La réplication entre régions (CRR) S3 vous permet de répliquer des données entre des Régions AWS distantes pour satisfaire à ces exigences. La CRR active la copie asynchrone automatique d’objets entre des compartiments de différentes Régions AWS. Pour plus d’informations, consultez Réplication d’objets au sein des régions et entre elles.

Envisagez également de mettre en œuvre des contrôles de détection continus en utilisant la règle AWS Config gérée s3-bucket-replication-enabled.

Un point de terminaison de VPC (Virtual Private Cloud) pour Amazon S3 est une entité logique au sein d’un VPC qui autorise la connectivité uniquement à Amazon S3. Les points de terminaison VPC peuvent empêcher le trafic de traverser le réseau Internet ouvert.

Les points de terminaison VPC pour Amazon S3 offrent plusieurs façons de contrôler l’accès à vos données Amazon S3 :

Pour plus d’informations, consultez Contrôle de l’accès à partir des points de terminaison d’un VPC avec des stratégies de compartiment.

Plusieurs services de sécurité AWS gérés peuvent vous aider à identifier, évaluer et surveiller les risques de sécurité et de conformité liés à vos données Amazon S3. Ces services peuvent également vous aider à protéger vos données contre ces risques. Ces services incluent des fonctionnalités automatisées de détection, de surveillance et de protection, conçues pour s’adapter à des ressources Amazon S3 destinées à un seul Compte AWS, comme à des ressources destinées à des organisations comptant des milliers de comptes.

Pour plus d’informations, consultez Surveillance de la sécurité des données à l’aide des services de sécurité AWS gérés.

L’identification de vos ressources informatiques est un aspect crucial de la gouvernance et de la sécurité. Vous devez avoir une visibilité sur toutes vos ressources Amazon S3 pour évaluer leur niveau de sécurité et agir sur les zones de vulnérabilité potentielles. Pour auditer vos ressources, nous vous recommandons de procéder comme suit :

La surveillance joue en rôle important dans le maintien de la fiabilité, de la sécurité, de la disponibilité et des performances d’Amazon S3 et de vos solutions AWS. AWS fournit différents outils et services pour vous aider à surveiller Amazon S3 et vos autres Services AWS. Par exemple, vous pouvez surveiller les métriques Amazon CloudWatch pour Amazon S3, notamment les métriques PutRequests, GetRequests, 4xxErrors et DeleteRequests. Pour plus d’informations, consultez Surveillance des métriques avec Amazon CloudWatch et Journalisation et surveillance dans Amazon S3.

Pour obtenir un deuxième exemple, consultez Exemple : Activité de compartiment Amazon S3. Cet exemple montre comment créer une alarme CloudWatch qui se déclenche lorsqu’un appel d’API Amazon S3 est effectué pour exécuter une opération PUT ou DELETE sur une stratégie de compartiment, un cycle de vie de compartiment ou une configuration de réplication de compartiment, ou encore pour exécuter une opération PUT sur une liste ACL de compartiment.

La journalisation des accès au serveur fournit des enregistrements détaillés sur les demandes soumises à un compartiment. Les journaux d’accès au serveur peuvent vous aider pour les audits de sécurité et d’accès, et vous permettre d’en savoir plus sur votre base de clients et de comprendre votre facture Amazon S3. Pour obtenir des instructions pour l’activation de la journalisation des accès au serveur, consultez Enregistrement de demandes avec journalisation des accès au serveur.

Envisagez également de mettre en œuvre des contrôles de détection continus en utilisant la règle AWS Config gérée s3-bucket-logging-enabled.

AWS CloudTrail fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un Service AWS dans Amazon S3. Vous pouvez utiliser les informations collectées par CloudTrail pour déterminer les éléments suivants :

Par exemple, vous pouvez identifier les entrées CloudTrail pour les actions PUT qui ont un impact sur l’accès aux données, en particulier PutBucketAcl, PutObjectAcl, PutBucketPolicy et PutBucketWebsite.

Lorsque vous configurez votre Compte AWS, CloudTrail est activé par défaut. Vous pouvez afficher les événements récents dans la console CloudTrail. Pour créer un enregistrement continu des activités et des événements pour vos compartiments Amazon S3, vous pouvez créer un journal de suivi dans la console CloudTrail. Pour plus d’informations, consultez Journalisation des événements de données dans le Guide de l’utilisateur AWS CloudTrail.

Lorsque vous créez un journal de suivi, vous pouvez configurer CloudTrail pour consigner les événements de données. Les événements de données sont des enregistrements d’opérations de ressources effectuées sur ou dans une ressource. Dans Amazon S3, les événements de données enregistrent l’activité des API au niveau des objets pour les compartiments individuels. CloudTrail prend en charge un sous-ensemble d’opérations d’API au niveau des objets Amazon S3, telles que GetObject, DeleteObject et PutObject. Pour plus d’informations sur le fonctionnement de CloudTrail avec Amazon S3, consultez Journalisation des appels d’API Amazon S3 à l’aide de AWS CloudTrail. Dans la console Amazon S3, vous pouvez également configurer vos compartiments S3 pour Activation de la journalisation des événements CloudTrail pour les compartiments et les objets S3.

AWS Config fournit une règle gérée (cloudtrail-s3-dataevents-enabled) que vous pouvez utiliser pour vérifier qu’au moins un journal de suivi CloudTrail consigne les événements de données de vos compartiments S3. Pour plus d’informations, consultez cloudtrail-s3-dataevents-enabled dans le Guide du développeur AWS Config.

Plusieurs des bonnes pratiques répertoriées dans cette rubrique suggèrent de créer des règles AWS Config. AWS Config vous aide à évaluer et auditer les configurations de vos ressources AWS. AWS Config surveille les configurations des ressources et vous permet d’évaluer les configurations enregistrées par rapport aux configurations sécurisées souhaitées. AWS Config vous permet d’effectuer les actions suivantes :

L’utilisation d’AWS Config peut vous aider à simplifier les audits de conformité, l’analyse de la sécurité, la gestion des modifications et la résolution des problèmes opérationnels. Pour plus d’informations, consultez Configuration de AWS Config à l’aide de la console dans le Manuel du développeur AWS Config. Lors de la spécification des types de ressources à enregistrer, assurez-vous d’inclure les ressources Amazon S3.

Pour obtenir un exemple d’utilisation d’AWS Config, consultez Comment utiliser AWS Config pour surveiller et gérer les compartiments Amazon S3 autorisant l’accès public dans le Blog sur la sécurité AWS.

S3 Storage Lens est une fonctionnalité d’analytique du stockage dans le cloud que vous pouvez utiliser pour obtenir une visibilité à l’échelle de l’organisation sur l’utilisation et l’activité du stockage d’objets. S3 Storage Lens analyse également les métriques de stockage pour fournir des recommandations contextuelles afin d’aider à réduire les coûts de stockage et à appliquer les bonnes pratiques de protection des données.

Avec S3 Storage Lens, vous pouvez utiliser des métriques pour générer des informations récapitulatives, telles que la quantité de stockage dont vous disposez dans l’ensemble de votre organisation ou les compartiments et préfixes qui connaissent la croissance la plus rapide. Vous pouvez également utiliser les métriques S3 Storage Lens pour identifier des opportunités d’optimisation des coûts, mettre en œuvre les bonnes pratiques de protection des données et de gestion des accès, et améliorer les performances des charges de travail d’application.

Par exemple, vous pouvez identifier les compartiments qui sont dépourvus de règles de cycle de vie S3 pour abandonner les chargements partitionnés non terminés datant de plus de 7 jours. Vous pouvez également identifier les compartiments qui ne respectent pas les bonnes pratiques de protection des données, telles que l’utilisation de la réplication S3 ou de la gestion des versions S3. Pour plus d’informations, consultez Présentation d’Amazon S3 Storage Lens.

Nous vous recommandons de vérifier régulièrement les conseils de sécurité publiés dans Trusted Advisor pour votre Compte AWS. En particulier, recherchez des avertissements concernant les compartiments Amazon S3 avec des autorisations permettant un libre accès. Vous pouvez procéder par programmation en utilisant describe-trusted-advisor-checks.

En outre, surveillez activement l’adresse e-mail principale inscrite dans chacun de vos Comptes AWS. AWS utilise cette adresse e-mail pour vous contacter au sujet de problèmes de sécurité émergents susceptibles de vous affecter.

Les problèmes opérationnels AWS avec des répercussions majeures sont publiés dans le tableau de bord AWS Health Dashboard – État des services. Les problèmes opérationnels sont également publiés dans les comptes individuels via le tableau de bord AWS Health Dashboard. Pour plus d’informations, consultez la documentation AWS Health.

Amazon GuardDuty est un service de détection des menaces qui surveille en permanence vos Comptes AWS et vos charges de travail pour détecter toute activité malveillante, et fournit des résultats de sécurité détaillés à des fins de visibilité et de correction.

Grâce à la fonctionnalité de protection S3 de GuardDuty, vous pouvez configurer GuardDuty pour analyser les événements de données et de gestion AWS CloudTrail pour vos ressources Amazon S3. GuardDuty surveille ensuite ces événements pour détecter toute activité malveillante ou suspecte. Pour étayer l’analyse et identifier les risques de sécurité potentiels, GuardDuty utilise des flux de renseignements sur les menaces et le machine learning.

GuardDuty peut surveiller différents types d’activité pour vos ressources Amazon S3. Par exemple, les événements de gestion CloudTrail pour Amazon S3 incluent des opérations au niveau des compartiments, telles que ListBuckets, DeleteBucket et PutBucketReplication. Les événements de données CloudTrail pour Amazon S3 incluent des opérations au niveau des objets, telles que GetObject, ListObjects et PutObject. Si GuardDuty détecte une activité anormale ou potentiellement malveillante, il génère un résultat pour vous en informer.

Pour plus d’informations, consultez Protection Amazon S3 dans Amazon GuardDuty dans le Guide de l’utilisateur Amazon GuardDuty.

Amazon Detective simplifie le processus d’investigation et vous aide à mener des investigations de sécurité plus rapides et plus efficaces. Detective fournit des agrégations de données, des résumés et un contexte prédéfinis qui peuvent vous aider à analyser et à évaluer la nature et l’étendue des éventuels problèmes de sécurité.

Detective extrait automatiquement les événements temporels, tels que les appels d’API d’AWS CloudTrail et des journaux de flux Amazon VPC pour vos ressources AWS. Il ingère également les résultats générés par Amazon GuardDuty. Detective utilise ensuite le machine learning, l’analyse statistique et la théorie des graphes pour générer des visualisations qui vous aideront à mener plus rapidement des investigations de sécurité efficaces.

Ces visualisations fournissent une vue unifiée et interactive des comportements des ressources et de leurs interactions au fil du temps. Vous pouvez explorer ce graphique de comportement pour examiner les actions potentiellement malveillantes, telles que les tentatives de connexion infructueuses ou les appels d’API suspects. Vous pouvez également voir comment ces actions affectent les ressources, notamment les objets et les compartiments S3.

Pour plus d’informations, consultez le Guide d’administration Amazon Detective.

AWS Identity and Access Management Access Analyzer (analyseur d’accès IAM) peut vous aider à identifier les ressources partagées avec une entité externe. Vous pouvez également utiliser l’analyseur d’accès IAM pour valider les politiques IAM par rapport aux bonnes pratiques et à la syntaxe des politiques, et générer des politiques IAM en fonction de l’activité d’accès dans vos journaux AWS CloudTrail.

L’analyseur d’accès IAM utilise un raisonnement logique pour analyser les politiques de ressources dans votre environnement AWS, telles que les stratégies de compartiment. Avec l’analyseur d’accès IAM pour S3, vous êtes alerté quand un compartiment S3 est configuré pour autoriser l’accès à toute personne sur Internet ou dans d’autres Comptes AWS, y compris des comptes extérieurs à votre organisation. Par exemple, l’analyseur d’accès IAM pour S3 peut signaler qu’un compartiment dispose d’un accès en lecture ou en écriture fourni via une liste de contrôle d’accès (ACL) de compartiment, une stratégie de compartiment, une politique de point d’accès multirégion ou une politique de point d’accès. Pour chaque compartiment public ou partagé, vous recevez des résultats qui indiquent la source et le niveau d’accès public ou partagé. Grâce à ces résultats, vous pouvez prendre des mesures correctives immédiates et précises pour restaurer l’accès au compartiment comme vous l’aviez prévu.

Pour plus d’informations, consultez Examen de l’accès aux compartiments à l’aide de l’analyseur d’accès IAM pour S3.

Amazon Macie est un service de sécurité qui découvre les données sensibles au moyen du machine learning et de la correspondance de modèles. Macie fournit une visibilité sur les risques liés à la sécurité des données et permet une protection automatisée contre ces risques. Grâce à Macie, vous pouvez automatiser la découverte et la création de rapports de données sensibles dans votre parc de données Amazon S3 afin de mieux comprendre les données stockées par votre organisation dans S3.

Pour détecter les données sensibles avec Macie, vous pouvez utiliser des critères et des techniques intégrés, conçus pour détecter une liste étendue et croissante de types de données sensibles pour de nombreux pays et régions. Ces types de données sensibles incluent plusieurs types de données d’identification personnelle (PII), des données financières et des informations d’identification. Vous pouvez également utiliser des critères personnalisés que vous définissez : des expressions régulières qui définissent des modèles de texte à mettre en correspondance et, éventuellement, des séquences de caractères et des règles de proximité pour affiner les résultats.

Si Macie détecte des données sensibles dans un objet S3, Macie génère un résultat de sécurité pour vous en informer. Ce résultat fournit des informations sur l’objet affecté, les types et le nombre d’occurrences des données sensibles découvertes par Macie, ainsi que des détails supplémentaires pour vous aider à mener des investigations sur le compartiment et l’objet S3 affectés. Pour plus d’informations, consultez le Guide de l’utilisateur Amazon Macie.

AWS Security Hub CSPM est un service de gestion de la posture de sécurité qui effectue des vérifications conformes aux bonnes pratiques de sécurité, regroupe les alertes et les résultats provenant de plusieurs sources dans un format unique et permet une correction automatisée.

Security Hub collecte et fournit des données de résultats de sécurité à partir de solutions de sécurité AWS Partner Network intégrées et de Services AWS, notamment Amazon Detective, Amazon GuardDuty, l’analyseur d’accès IAM et Amazon Macie. Il génère également ses propres résultats en effectuant des contrôles de sécurité automatisés et continus basés sur les bonnes pratiques AWS et les normes industrielles prises en charge.

Security Hub met ensuite en corrélation et consolide les résultats entre les fournisseurs, afin de vous aider à hiérarchiser et à traiter les résultats les plus significatifs. Il prend également en charge les actions personnalisées, que vous pouvez utiliser pour invoquer des réponses ou des actions de correction pour des classes spécifiques de résultats.

Avec Security Hub, vous pouvez évaluer le statut de sécurité et de conformité de vos ressources Amazon S3, et vous pouvez le faire dans le cadre d’une analyse plus large de la posture de sécurité de votre organisation dans les Régions AWS individuelles et entre plusieurs régions. Cela inclut l’analyse des tendances en matière de sécurité et l’identification des problèmes de sécurité prioritaires. Vous pouvez également agréger les résultats de plusieurs Régions AWS, ainsi que surveiller et traiter les données de résultats agrégées provenant d’une seule région.

Pour plus d’informations, consultez Contrôles Amazon Simple Storage Service dans le Guide de l’utilisateur AWS Security Hub CSPM.