Controles de Amazon Simple Storage Service - AWS Security Hub
[S3.1] La configuración de S3 Block Public Access debe estar habilitada[S3.2] Los buckets de S3 deberían prohibir el acceso de lectura público[S3.3] Los buckets de S3 deberían prohibir el acceso de escritura público[S3.4] Los buckets de S3 deben tener habilitado el cifrado del lado del servidor[S3.5] Los buckets de S3 deberían requerir que las solicitudes usen Secure Socket Layer[S3.6] Los permisos de S3 concedidos a otras políticas Cuentas de AWS de bucket deben restringirse[S3.7] Los buckets de S3 deben tener habilitada la replicación entre regiones[S3.8] La configuración de acceso público en bloque de S3 debe estar habilitada a nivel de bucket[S3.9] Se debe habilitar el registro de acceso al servidor de bucket S3[S3.10] Los buckets de S3 con el control de versiones habilitado deben tener configuradas las políticas de ciclo de vida[S3.11] Los buckets de S3 deben tener habilitadas las notificaciones de eventos[S3.12] Las listas de control de acceso (ACL) de S3 no deben usarse para administrar el acceso de los usuarios a los buckets[S3.13] Los buckets de S3 deben tener configuradas las políticas de ciclo de vida[S3.14] Los buckets de S3 deberían usar el control de versiones[S3.15] Los cubos S3 deben configurarse para usar Object Lock[S3.17] Los buckets de S3 deben cifrarse en reposo con AWS KMS keys

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Amazon Simple Storage Service

Estos controles están relacionados con los recursos de Amazon S3.

Es posible que estos controles no estén disponibles en todosRegiones de AWS. Para obtener más información, consulte Disponibilidad de controles por región.

[S3.1] La configuración de S3 Block Public Access debe estar habilitada

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Categoría: Proteger - Configuración de red segura

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config: s3-account-level-public-access-blocks-periodic

Tipo de cronograma: Periódico

Parámetros:

  • ignorePublicAcls: true

  • blockPublicPolicy: true

  • blockPublicAcls: true

  • restrictPublicBuckets: true

Este control comprueba si las siguientes configuraciones del bloque de acceso público de Amazon S3 están configuradas a nivel de cuenta:

  • ignorePublicAcls: true

  • blockPublicPolicy: true

  • blockPublicAcls: true

  • restrictPublicBuckets: true

El control se aprueba si todas las configuraciones del bloque de acceso público están configuradas entrue.

El control falla si alguna de las opciones está establecida en o si alguna de las opciones no está configurada. false

El bloque de acceso público de Amazon S3 está diseñado para proporcionar controles a nivel de bucket de S3 completo Cuenta de AWS o individual a fin de garantizar que los objetos nunca tengan acceso público. El acceso público se otorga a grupos y objetos a través de listas de control de acceso (ACL), políticas de bucket o ambas.

A menos que pretenda que sus cubos de S3 sean de acceso público, debe configurar la función Bloquear acceso público de Amazon S3 a nivel de cuenta.

Para obtener más información, consulte Uso de Amazon S3 Block Public Access en la Guía del usuario de Amazon Simple Storage Service.

Corrección

Para solucionar este problema, habilite Amazon S3 Block Public Access.

Para habilitar Amazon S3 Block Public Access

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. Elija Block public access (account settings) [Block Public Access (configuración de la cuenta)].

  3. Elija Edit (Editar).

  4. Selecciona Bloquear todo el acceso público.

  5. Elija Guardar cambios.

Para obtener más información, consulte Uso de Amazon S3 para bloquear el acceso público en la Guía del usuario de Amazon Simple Storage Service.

[S3.2] Los buckets de S3 deberían prohibir el acceso de lectura público

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIS.800-53.R5 SC-7 (16), NIS.800-53.R5 SC-7 (20) 12), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Categoría: Proteger - Configuración de red segura

Gravedad: crítica

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-public-read-prohibited

Tipo de cronograma: periódico y activado por cambios

Parámetros: ninguno

Este control comprueba si los buckets de S3 permiten el acceso de lectura público. Evalúa la configuración de Block Public Access, la política del bucket y la lista de control de acceso (ACL) del bucket.

Algunos casos de uso requieren que todos en Internet puedan leer desde su bucket S3. Sin embargo, esas situaciones son poco habituales. Para garantizar la integridad y la seguridad de los datos, el bucket de S3 no debe tener acceso de lectura público.

Corrección

Para solucionar este problema, actualiza tu bucket de S3 para eliminar el acceso público.

Para eliminar el acceso público de un bucket de S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. En el panel de navegación izquierdo, elija Instances (Instancias).

  3. Elija el nombre del bucket de S3 que desea actualizar.

  4. Elija Permisos y, a continuación, elija Bloquear el acceso público.

  5. Elija Edit (Editar).

  6. Selecciona Bloquear todo el acceso público. A continuación, elija Save.

  7. Si se le solicite, introduzca confirm y luego seleccione Confirm (Confirmar).

[S3.3] Los buckets de S3 deberían prohibir el acceso de escritura público

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Categoría: Proteger - Configuración de red segura

Gravedad: crítica

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-public-write-prohibited

Tipo de cronograma: periódico y activado por cambios

Parámetros: ninguno

Este control comprueba si los buckets de S3 permiten el acceso de escritura público. Evalúa la configuración de Block Public Access, la política del bucket y la lista de control de acceso (ACL) del bucket.

Algunos casos de uso requieren que todos en Internet puedan escribir en su bucket S3. Sin embargo, esas situaciones son poco habituales. Para garantizar la integridad y la seguridad de los datos, el bucket de S3 no debe tener acceso de escritura público.

Corrección

Para solucionar este problema, actualiza tu bucket de S3 para eliminar el acceso público.

Para eliminar el acceso público a un bucket de S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. En el panel de navegación izquierdo, elija Instances (Instancias).

  3. Elija el nombre del bucket de S3 que desea actualizar.

  4. Elija Permisos y, a continuación, elija Bloquear el acceso público.

  5. Elija Edit (Editar).

  6. Selecciona Bloquear todo el acceso público. A continuación, elija Save.

  7. Si se le solicite, introduzca confirm y luego seleccione Confirm (Confirmar).

[S3.4] Los buckets de S3 deben tener habilitado el cifrado del lado del servidor

importante

Security Hub eliminará este control en agosto de 2023. Para obtener más información, consulte Registro de cambios para los controles de Security Hub.

Requisitos relacionados: PCI DSS v3.2.1/3.4, CIS AWS Foundations Benchmark v1.4.0/2.1.1, NIST.800-53.R5 AU-9, NIST.800-53.R5 AU-9 (2), NIST.800-53.R5 AU-9 (7), NIST.800-53.R5 CA-9 (1), NIS.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-5 13, NIST.800-53.R5 SC-28, NIST.800-53.R5 SC-28 (1), NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

Categoría: Proteger - Protección de datos - Cifrado de datos en reposo

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-server-side-encryption-enabled

Tipo de cronograma: cambio activado

Parámetros: ninguno

Este control comprueba si un bucket de Amazon S3 tiene habilitado el cifrado del lado del servidor (SSE-S3, SSE-KMS o DSSE-KMS) o si la política de bucket de S3 deniega explícitamente las solicitudes sin cifrado del lado del servidor. PutObject

Para añadir un nivel de seguridad adicional a los datos confidenciales de los buckets de S3, debe configurar los buckets con cifrado del lado del servidor para proteger los datos en reposo. Amazon S3 cifra cada objeto del bucket con una clave única. Como medida de seguridad adicional, Amazon S3 cifra la propia clave con una clave raíz que rota regularmente. El cifrado del lado del servidor de Amazon S3 utiliza uno de los cifrados de bloques más seguros disponibles para cifrar sus datos, Advanced Encryption Standard de 256 bits (AES-256). A menos que especifique lo contrario, los buckets de S3 utilizan las claves gestionadas de Amazon S3 (SSE-S3) de forma predeterminada para el cifrado del lado del servidor. Sin embargo, para mayor control, puede optar por configurar buckets para que utilicen el cifrado del lado del servidor AWS KMS keys (SSE-KMS o DSSE-KMS) en su lugar.

Para obtener más información, consulte Proteger los datos mediante el cifrado del lado del servidor con claves de cifrado gestionadas por Amazon S3 (SSE-S3) en la Guía del usuario de Amazon Simple Storage Service.

Corrección

Para solucionar este problema, actualiza tu bucket de S3 para habilitar el cifrado predeterminado.

Para habilitar el cifrado predeterminado en un bucket de S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. En el panel de navegación izquierdo, elija Instances (Instancias).

  3. Elija el bucket S3 de la lista.

  4. Seleccione Properties (Propiedades).

  5. Elija Default encryption (Cifrado predeterminado).

  6. Para el cifrado, elija AES-256 o AWS -KMS.

    • Elija AES-256 para usar las claves administradas por Amazon S3 para el cifrado predeterminado. Para obtener más información sobre el uso del cifrado del lado del servidor de Amazon S3 para cifrar sus datos, consulte la Guía del usuario de Amazon Simple Storage Service.

    • Elija AWS-KMS para usar las claves administradas AWS KMS por el cifrado predeterminado. A continuación, elija una clave raíz de la lista de claves AWS KMS raíz que ha creado.

      Escriba el nombre de recurso de Amazon (ARN) de la clave de AWS KMS que va a usar. Puede encontrar el ARN de su AWS KMS clave en la consola de IAM, en Claves de cifrado. O bien puede elegir un nombre de clave en la lista desplegable.

      importante

      Si utiliza la opción de AWS KMS para configurar el cifrado predeterminado, se le aplicarán las cuotas de RPS (solicitudes por segundo) de AWS KMS. Para obtener más información sobre AWS KMS las cuotas y cómo solicitar un aumento de cuota, consulta la Guía para AWS Key Management Service desarrolladores.

      Para obtener más información sobre la creación de una AWS KMS clave, consulte la Guía para AWS Key Management Service desarrolladores.

      Para obtener más información sobre el uso AWS KMS con Amazon S3, consulte la Guía del usuario de Amazon Simple Storage Service.

    Al habilita el cifrado predeterminado, es posible que tenga que actualizar la política de bucket. Para obtener más información sobre cómo pasar de las políticas de bucket al cifrado predeterminado, consulte la Guía del usuario de Amazon Simple Storage Service.

  7. Seleccione Guardar.

Para obtener más información sobre el cifrado de bucket S3 predeterminado, consulte la Guía del usuario de Amazon Simple Storage Service.

[S3.5] Los buckets de S3 deberían requerir que las solicitudes usen Secure Socket Layer

Requisitos relacionados: PCI DSS v3.2.1/4.1, CIS AWS Foundations Benchmark v1.4.0/2.1.2, NIST.800-53.R5 AC-17 (2), NIST.800-53.R5 AC-4, NIST.800-53.R5 IA-5 (1), NIST.800-53.R5 SC-12 (3), NIST.800-53.R5 SC-13, NIS.800-53.R5 SC-5 23, NIST.800-53.R5 SC-23 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-ssl-requests-only

Tipo de cronograma: cambio activado

Parámetros: ninguno

Este control comprueba si los buckets de S3 tienen políticas que exijan que las solicitudes usen Secure Socket Layer (SSL).

Los buckets de S3 deben tener políticas que exijan que todas las solicitudes (Action: S3:*) solo acepten la transmisión de datos a través de HTTPS en la política de recursos de S3, indicada por la clave aws:SecureTransport de condición.

Corrección

Para solucionar este problema, actualice la política de permisos del bucket de S3.

Para configurar un bucket de S3 para denegar el transporte no seguro

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. Navega hasta el bucket no compatible y, a continuación, elige el nombre del bucket.

  3. Elija Permissions (Permisos) y, a continuación, seleccione Bucket Policy (Política de bucket).

  4. Añada una declaración de política similar a la de la política siguiente. awsexamplebucketSustitúyalo por el nombre del bucket que vaya a modificar.

    {
    "Id": "ExamplePolicy",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::awsexamplebucket",
                "arn:aws:s3:::awsexamplebucket/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}

  5. Seleccione Guardar.

Para obtener más información, consulte el artículo del centro de conocimiento ¿Qué política de bucket de S3 debo utilizar para cumplir con la AWS Config regla s3-bucket-ssl-requests-only? .

[S3.6] Los permisos de S3 concedidos a otras políticas Cuentas de AWS de bucket deben restringirse

Requisitos relacionados: NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2

Categoría: Proteger > Gestión del acceso seguro > Se restringen las operaciones confidenciales de la API

Gravedad: alta

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-blacklisted-actions-prohibited

Tipo de cronograma: cambio activado

Parámetros:

  • blacklistedactionpatterns: s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl

Este control comprueba si la política de bucket de S3 impide que los directores de otros Cuentas de AWS realicen acciones denegadas en los recursos del bucket de S3. El control falla si la política de bucket de S3 permite alguna de las siguientes acciones para un principal en otroCuenta de AWS:

  • s3:DeleteBucketPolicy

  • s3:PutBucketAcl

  • s3:PutBucketPolicy

  • s3:PutEncryptionConfiguration

  • s3:PutObjectAcl

Implementar el acceso con mínimos privilegios es fundamental para reducir el riesgo de seguridad y el impacto de los errores o las intenciones malintencionadas. Si una política de bucket de S3 permite el acceso desde cuentas externas, podría provocar la exfiltración de datos por parte de una amenaza interna o de un atacante.

El blacklistedactionpatterns parámetro permite una evaluación correcta de la regla para los buckets de S3. El parámetro permite el acceso a cuentas externas para los patrones de acción que no están incluidos en la blacklistedactionpatterns lista.

Corrección

Para solucionar este problema, edite la política de bucket de S3 para eliminar los permisos.

Para editar una política de bucket de S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. En la lista de nombres de cubos, elija el nombre del bucket de S3 para el que desea editar la política.

  3. Elija Permissions (Permisos) y, a continuación, seleccione Bucket Policy (Política de bucket).

  4. En el cuadro de texto del editor de políticas de cubos, realice una de las siguientes acciones:

    • Elimine las declaraciones que otorgan acceso a las acciones denegadas a otros Cuentas de AWS

    • Elimine las acciones denegadas permitidas de las declaraciones

  5. Seleccione Guardar.

[S3.7] Los buckets de S3 deben tener habilitada la replicación entre regiones

Requisitos relacionados: PCI DSS v3.2.1/2.2, NIST.800-53.R5 AU-9 (2), NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, SC.800-53.R5 NIST-36 (2), NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Categoría: Proteger - Administración de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-replication-enabled

Tipo de cronograma: cambio activado

Parámetros: ninguno

Este control comprueba si los buckets de S3 tienen la replicación entre regiones habilitada.

PCI DSS no requiere replicación de datos ni configuraciones de alta disponibilidad. Sin embargo, esta comprobación se alinea con las prácticas recomendadas de AWS para este control.

Además de la disponibilidad, debe plantearse otras configuraciones de protección de sistemas.

Corrección

Para habilitar la replicación del bucket de S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. Elija el bucket de S3 que no tenga habilitada la replicación entre regiones.

  3. Elija Administración y, a continuación, Replicación.

  4. Seleccione Add rule (Agregar regla). Si el control de versiones aún no está habilitado, se le pedirá que lo habilite.

  5. Elija su depósito de origen: Depósito completo.

  6. Elija su bucket de destino. Si el control de versiones aún no está habilitado en el bucket de destino de su cuenta, se le pedirá que lo habilite.

  7. Elija un rol de IAM. Para obtener más información sobre la configuración de los permisos de replicación, consulte la Guía del usuario de Amazon Simple Storage Service.

  8. Introduzca un nombre de regla, seleccione Habilitado para el estado y, a continuación, seleccione Siguiente.

  9. Seleccione Guardar.

Para obtener más información sobre la replicación, consulte la Guía del usuario de Amazon Simple Storage Service.

[S3.8] La configuración de acceso público en bloque de S3 debe estar habilitada a nivel de bucket

Requisitos relacionados: CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIS.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Categoría: Proteger > Gestión de acceso seguro > Control de acceso

Gravedad: alta

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-level-public-access-prohibited

Tipo de cronograma: cambio activado

Parámetros:

  • excludedPublicBuckets(Opcional): una lista separada por comas de los nombres de bucket públicos de S3 conocidos y permitidos.

Este control comprueba si los buckets de S3 tienen aplicados bloques de acceso público a nivel de bucket. Este control falla si se establece alguna de las siguientes configuraciones enfalse:

  • ignorePublicAcls

  • blockPublicPolicy

  • blockPublicAcls

  • restrictPublicBuckets

Bloquear el acceso público a nivel de bucket de S3 proporciona controles para garantizar que los objetos nunca tengan acceso público. El acceso público se otorga a grupos y objetos a través de listas de control de acceso (ACL), políticas de bucket o ambas.

A menos que pretenda que sus buckets de S3 sean accesibles públicamente, debe configurar la función de acceso público en bloque de Amazon S3 a nivel de bucket.

Corrección

Para obtener información sobre cómo eliminar el acceso público a nivel de bucket, consulte Bloquear el acceso público a su almacenamiento de Amazon S3 en la Guía del usuario de Amazon S3.

[S3.9] Se debe habilitar el registro de acceso al servidor de bucket S3

Requisitos relacionados: NIST.800-53.R5 AC-2 (4), NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AC-6 (9), NIST.800-53.R5 AU-10, NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-2, NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NIST.800-53.R5 SC-7 (9), NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-logging-enabled

Tipo de cronograma: cambio activado

Parámetros: ninguno

Este control comprueba si el registro de acceso al servidor está habilitado para los buckets de S3. Cuando el registro está habilitado, Amazon S3 entrega los registros de acceso de un bucket de origen a un bucket de destino elegido. El bucket de destino debe estar en la misma región de AWS que el bucket de origen y no debe tener una configuración de periodo de retención predeterminada. Este control se ejecuta si el registro de acceso al servidor está habilitado. No es necesario que el depósito de registro de destino tenga habilitado el registro de acceso al servidor y debe suprimir los hallazgos de este depósito.

El registro de acceso al servidor proporciona registros detallados de las solicitudes realizadas a un bucket. Los registros de acceso al servidor pueden ayudar en las auditorías de seguridad y acceso. Para obtener más información, consulte Prácticas recomendadas de seguridad para Amazon S3: habilitar el registro de acceso a los servidores de Amazon S3.

Corrección

Para habilitar el registro de acceso al bucket de S3

  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. Seleccione el depósito de la lista.

  3. Seleccione Properties (Propiedades).

  4. En Server access logging (Registro de acceso al servidor), elija Edit (Editar).

  5. En Registro de acceso al servidor, seleccione Habilitar. A continuación, elija Save changes (Guardar cambios).

[S3.10] Los buckets de S3 con el control de versiones habilitado deben tener configuradas las políticas de ciclo de vida

Requisitos relacionados: NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-version-lifecycle-policy-check

Tipo de cronograma: cambio activado

Parámetros: ninguno

Este control comprueba si los buckets habilitados para la versión Amazon Simple Storage Service (Amazon S3) tienen configurada la política de ciclo de vida. Esta regla no funciona si la política de ciclo de vida de Amazon S3 no está habilitada.

Se recomienda configurar las reglas del ciclo de vida en su bucket de Amazon S3, ya que estas reglas le ayudan a definir las acciones que desea que Amazon S3 lleve a cabo durante la vida útil de un objeto.

Corrección

Para obtener más información sobre la configuración del ciclo de vida en un bucket de Amazon S3, consulte Configurar la configuración del ciclo de vida en un bucket y Administrar el ciclo de vida del almacenamiento.

[S3.11] Los buckets de S3 deben tener habilitadas las notificaciones de eventos

Requisitos relacionados: NIST.800-53.R5 CA-7, NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (4)

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-event-notifications-enabled

Tipo de cronograma: cambio activado

Parámetros: ninguno

Este control comprueba si las notificaciones de eventos de S3 están habilitadas en un bucket de Amazon S3. Este control falla si las notificaciones de eventos de S3 no están habilitadas en un bucket.

Al habilitar las notificaciones de eventos, recibirá alertas en sus buckets de Amazon S3 cuando se produzcan eventos específicos. Por ejemplo, puede recibir notificaciones sobre la creación, la eliminación y la restauración de objetos. Estas notificaciones pueden alertar a los equipos pertinentes sobre modificaciones accidentales o intencionales que pueden provocar un acceso no autorizado a los datos.

Corrección

Para obtener información sobre la detección de cambios en los buckets y objetos de S3, consulte las notificaciones de eventos de Amazon S3 en la Guía del usuario de Amazon S3.

[S3.12] Las listas de control de acceso (ACL) de S3 no deben usarse para administrar el acceso de los usuarios a los buckets

Requisitos relacionados: NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-6

Categoría: Proteger > Gestión de acceso seguro > Control de acceso

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-acl-prohibited

Tipo de cronograma: cambio activado

Parámetros: ninguno

Este control comprueba si los buckets de Amazon S3 proporcionan permisos de usuario mediante ACL. El control falla si las ACL están configuradas para administrar el acceso de los usuarios en los buckets de S3.

Las ACL son mecanismos de control de acceso antiguos anteriores a la IAM. En lugar de ACL, recomendamos utilizar políticas de IAM o políticas de bucket de S3 para gestionar más fácilmente el acceso a los buckets de S3.

Corrección

Para pasar este control, debes deshabilitar las ACL de tus buckets de S3. Para obtener instrucciones, consulte Controlar la propiedad de los objetos y deshabilitar las ACL de su bucket en la Guía del usuario de Amazon Simple Storage Service.

Para crear una política de bucket de S3, consulte Añadir una política de bucket mediante la consola de Amazon S3. Para crear una política de usuario de IAM en un bucket de S3, consulte Controlar el acceso a un bucket con políticas de usuario.

[S3.13] Los buckets de S3 deben tener configuradas las políticas de ciclo de vida

Requisitos relacionados: NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Categoría: Proteger > Protección de datos

Gravedad: baja

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-lifecycle-policy-check

Tipo de cronograma: cambio activado

Parámetros: ninguno

Este control comprueba si una política de ciclo de vida está configurada para un bucket de Amazon S3. Este control falla si no hay una política de ciclo de vida configurada para un bucket de S3.

La configuración de las reglas del ciclo de vida en su bucket de S3 define las acciones que desea que S3 lleve a cabo durante la vida útil de un objeto. Por ejemplo, puede transferir objetos a otra clase de almacenamiento, archivarlos o eliminarlos después de un período de tiempo específico.

Corrección

Para obtener información sobre la configuración de las políticas del ciclo de vida en un bucket de Amazon S3, consulte Configurar la configuración del ciclo de vida en un bucket y consulte Administrar el ciclo de vida del almacenamiento en la Guía del usuario de Amazon S3.

[S3.14] Los buckets de S3 deberían usar el control de versiones

Categoría: Proteger > Protección de datos > Protección contra eliminación de datos

Requisitos relacionados: NIST.800-53.R5 AU-9 (2), NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 R5 SI-12, NIST.800-53.R5 SI-13 (5)

Gravedad: baja

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-versioning-enabled

Tipo de cronograma: cambio activado

Parámetros: ninguno

Este control comprueba si sus buckets de Amazon S3 utilizan el control de versiones. El control falla si se suspende el control de versiones para un bucket de S3.

El control de versiones mantiene varias variantes de un objeto en el mismo bucket de S3. Puedes usar el control de versiones para conservar, recuperar y restaurar versiones anteriores de un objeto almacenado en tu bucket de S3. El control de versiones le ayuda a recuperarse tanto de las acciones no deseadas de los usuarios como de los errores de las aplicaciones.

sugerencia

A medida que aumenta la cantidad de objetos en un bucket debido al control de versiones, puede configurar políticas de ciclo de vida para archivar o eliminar automáticamente los objetos versionados según las reglas. Para obtener más información, consulte Administración del ciclo de vida de Amazon S3 para objetos versionados.

Corrección

Para usar el control de versiones en un bucket de S3, consulte Habilitar el control de versiones en cubos en la Guía del usuario de Amazon S3.

[S3.15] Los cubos S3 deben configurarse para usar Object Lock

Categoría: Proteger > Protección de datos > Protección contra eliminación de datos

Requisitos relacionados: NIST.800-53.R5 CP-6 (2)

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

AWS Configregla: s3-bucket-default-lock-enabled

Tipo de cronograma: cambio activado

Parámetros: ninguno

Este control comprueba si un bucket de Amazon S3 se ha configurado para usar Object Lock. El control falla si el bucket de S3 no está configurado para usar Object Lock.

Puede utilizar S3 Object Lock para almacenar objetos mediante un modelo write-once-read-many (WORM). El bloqueo de objetos puede ayudar a evitar que los objetos de los buckets de S3 se eliminen o sobrescriban durante un período de tiempo fijo o indefinidamente. Puede usar Bloqueo de objetos de S3 para cumplir con los requisitos normativos que precisen de almacenamiento WORM o agregar una capa adicional de protección frente a cambios y eliminaciones de objetos.

Corrección

Para configurar Object Lock para un nuevo bucket de S3, consulte Uso de S3 Object-Lock en la Guía del usuario de Amazon S3. Tras crear un bucket, no puedes cambiar su configuración de bloqueo de objetos. Para configurar Object Lock para un bucket existente, póngase en contacto con AWS Support.

[S3.17] Los buckets de S3 deben cifrarse en reposo con AWS KMS keys

Categoría: Proteger - Protección de datos - Cifrado de datos en reposo

Requisitos relacionados: NIST.800-53.R5 SC-12 (2), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28 (1), NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CA-9 (1) ST.800-53.R5 SI-7 (6), NIST.800-53.R5 AU-9

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

AWS Configregla: s3-default-encryption-kms

Tipo de cronograma: cambio activado

Parámetros: ninguno

Este control comprueba si un bucket de Amazon S3 está cifrado con un AWS KMS key (SSE-KMS o DSSE-KMS). El control falla si un bucket de S3 está cifrado con el cifrado predeterminado (SSE-S3).

El cifrado del lado del servidor (SSE) es el cifrado de los datos en su destino por parte de la aplicación o el servicio que los recibe. A menos que especifique lo contrario, los buckets de S3 utilizan las claves gestionadas de Amazon S3 (SSE-S3) de forma predeterminada para el cifrado del lado del servidor. Sin embargo, para mayor control, puede optar por configurar buckets para que utilicen el cifrado del lado del servidor AWS KMS keys (SSE-KMS o DSSE-KMS) en su lugar. Amazon S3 cifra sus datos en el nivel de objeto; los escribe en los discos de sus centros de datos de AWS y los descifra cuando accede a él.

Corrección

Para cifrar un bucket de S3 mediante SSE-KMS, consulte Especificar el cifrado del lado del servidor con AWS KMS (SSE-KMS) en la Guía del usuario de Amazon S3. Para cifrar un bucket de S3 mediante DSSE-KMS, consulte Especificar el cifrado de doble capa del lado del servidor con AWS KMS keys (DSSE-KMS) en la Guía del usuario de Amazon S3.