Controles de Amazon Simple Storage Service - AWS Security Hub
[S3.1] Los depósitos de uso general de S3 deberían tener habilitada la configuración de bloqueo de acceso público[S3.2] Los depósitos de uso general de S3 deberían bloquear el acceso público de lectura[S3.3] Los cubos de uso general de S3 deberían bloquear el acceso público de escritura[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes para usar SSL[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS[S3.7] Los buckets de uso general de S3 deberían utilizar la replicación entre regiones[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público[S3.9] Los depósitos de uso general de S3 deberían tener habilitado el registro de acceso al servidor[S3.10] Los depósitos de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida[S3.11] Los buckets de uso general de S3 deberían tener habilitadas las notificaciones de eventos[S3.12] Las ACL no deben usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida[S3.14] Los buckets de uso general de S3 deberían tener habilitado el control de versiones[S3.15] Los depósitos de uso general de S3 deberían tener activado Object Lock[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Amazon Simple Storage Service

Estos controles están relacionados con los recursos de Amazon S3.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[S3.1] Los depósitos de uso general de S3 deberían tener habilitada la configuración de bloqueo de acceso público

importante

El 12 de marzo de 2024, el título de este control cambió por el título que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, CIS AWS Foundations Benchmark v1.4.0/2.1.5, Nist.800-53.r5 AC-21, Nist.800-53.r5 AC-3, Nist.800.800.R5 -53.r5 AC-3 (7), NiSt.800-53.r5 AC-4, NiSt.800-53.r5 AC-4 (21), NiSt.800-53.r5 AC-6, NiSt.800-53.r5 SC-7 (11), NiSt.800-53.r5 SC-7 (16), NIst.800-53.r5 SC-7 (16), NISt.800-53.r5 SC-7 (20), NiSt.800-53.r5 SC-7 (21), NiSt.800-53.r5 SC-7 (3), NIst.800-53.r5 SC-7 (4), NIst.800-53.r5 SC-7 (9)

Categoría: Proteger - Configuración de red segura

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : s3-account-level-public-access-blocks-periodic

Tipo de programa: Periódico

Parámetros:

  • ignorePublicAcls: true (no personalizable)

  • blockPublicPolicy: true (no personalizable)

  • blockPublicAcls: true (no personalizable)

  • restrictPublicBuckets: true (no personalizable)

Este control comprueba si los ajustes anteriores de bloqueo de acceso público de Amazon S3 están configurados a nivel de cuenta para un bucket de uso general de S3. El control falla si una o más de las configuraciones de bloqueo de acceso público están configuradas enfalse.

El control falla si alguna de las configuraciones se ha establecido como false o si alguna de las configuraciones no está configurada.

El bloque de acceso público de Amazon S3 está diseñado para proporcionar controles a nivel de bucket S3 completo Cuenta de AWS o individual a fin de garantizar que los objetos nunca tengan acceso público. El acceso público se otorga a grupos y objetos a través de listas de control de acceso (ACL), políticas de bucket o ambas.

A menos que quiera que se pueda acceder públicamente a sus buckets de S3, debe configurar la característica de Bloqueo de acceso público de Amazon S3 de nivel de cuenta.

Para obtener más información, consulte Uso de Bloqueo de acceso público de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

Corrección

Para habilitar el acceso público por bloqueo de Amazon S3 para usted Cuenta de AWS, consulte Configuración de los ajustes de bloqueo de acceso público para su cuenta en la Guía del usuario de Amazon Simple Storage Service.

[S3.2] Los depósitos de uso general de S3 deberían bloquear el acceso público de lectura

importante

El 12 de marzo de 2024, el título de este control cambió por el título que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

Categoría: Proteger - Configuración de red segura

Gravedad: crítica

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-bucket-public-read-prohibited

Tipo de programa: periódico y activado por cambios

Parámetros: ninguno

Este control comprueba si un bucket de uso general de Amazon S3 permite el acceso de lectura público. Evalúa la configuración de Block Public Access, la política del bucket y la lista de control de acceso (ACL) del bucket. El control falla si el bucket permite el acceso de lectura público.

Algunos casos de uso probablemente requieran que todos en Internet puedan leer desde su bucket S3. Sin embargo, esas situaciones son poco habituales. Para garantizar la integridad y la seguridad de los datos, el bucket de S3 no debe tener acceso de lectura público.

Corrección

Para bloquear el acceso público de lectura en sus buckets de Amazon S3, consulte Configuración de los ajustes de bloqueo de acceso público para sus buckets de S3 en la Guía del usuario de Amazon Simple Storage Service.

[S3.3] Los cubos de uso general de S3 deberían bloquear el acceso público de escritura

importante

El 12 de marzo de 2024, el título de este control cambió por el título que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

Categoría: Proteger - Configuración de red segura

Gravedad: crítica

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-bucket-public-write-prohibited

Tipo de programa: periódico y activado por cambios

Parámetros: ninguno

Este control comprueba si un bucket de uso general de Amazon S3 permite el acceso de escritura público. Evalúa la configuración de Block Public Access, la política del bucket y la lista de control de acceso (ACL) del bucket. El control falla si el bucket permite el acceso de escritura público.

Algunos casos de uso requieren que todos en Internet puedan escribir en su bucket S3. Sin embargo, esas situaciones son poco habituales. Para garantizar la integridad y la seguridad de los datos, el bucket de S3 no debe tener acceso de escritura público.

Corrección

Para bloquear el acceso público de escritura en sus buckets de Amazon S3, consulte Configuración de los ajustes de bloqueo de acceso público para sus buckets de S3 en la Guía del usuario de Amazon Simple Storage Service.

[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes para usar SSL

importante

El 12 de marzo de 2024, el título de este control cambió por el título que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: PCI DSS v3.2.1/4.1, CIS AWS Foundations Benchmark v1.4.0/2.1.2, Nist.800-53.r5 AC-17 (2), Nist.800-53.r5 AC-4, Nist.800-53.r5 IA-5 (1), Nist.800-53.r5 SC-12 (3), Nist.800-53.r5 SC-13, Nist.800-53.r5 5 SC-23, NiSt.800-53.r5 SC-23 (3), NiSt.800-53.r5 SC-7 (4), NiSt.800-53.r5 SC-8 (1), NISt.800-53.r5 SC-8 (2), NISt.800-53.r5 SI-7 (6)

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-bucket-ssl-requests-only

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un bucket de uso general de Amazon S3 tiene una política que exija que las solicitudes usen SSL. El control falla si la política de bucket no requiere que las solicitudes usen SSL.

Los buckets S3 deben tener políticas que exijan que todas las solicitudes (Action: S3:*) solo acepten la transmisión de datos a través de HTTPS en la política de recursos de S3, indicada mediante la clave de condición aws:SecureTransport.

Corrección

Para actualizar una política de bucket de Amazon S3 para denegar el transporte no seguro, consulte Agregar una política de bucket mediante la consola de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

Añada una declaración de política similar a la de la siguiente política. Sustituya awsexamplebucket por el nombre del bucket que está modificando.

{ "Id": "ExamplePolicy", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSSLRequestsOnly", "Action": "s3:*", "Effect": "Deny", "Resource": [ "arn:aws:s3:::awsexamplebucket", "arn:aws:s3:::awsexamplebucket/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } }, "Principal": "*" } ] }

Para obtener más información, consulte el artículo del Knowledge Center ¿Qué política de bucket de S3 debo utilizar para cumplir con la AWS Config regla s3-bucket-ssl-requests-only? .

[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS

importante

El 12 de marzo de 2024, el título de este control cambió por el título que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2

Categoría: Proteger > Gestión del acceso seguro > Se restringen las acciones de operaciones confidenciales de la API

Gravedad: alta

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-blacklisted-actions-prohibited

Tipo de horario: provocado por un cambio

Parámetros:

  • blacklistedactionpatterns: s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl (no personalizable)

Este control comprueba si una política de bucket de uso general de Amazon S3 impide que los directores de otros Cuentas de AWS realicen acciones denegadas en los recursos del bucket de S3. El control falla si la política de bucket permite una o más de las acciones anteriores para un principal en otro Cuenta de AWS.

La implementación del acceso con privilegios mínimos es esencial a la hora de reducir los riesgos de seguridad y el impacto de los errores o intentos malintencionados. Si una política de buckets S3 permite el acceso desde cuentas externas, podría provocar la exfiltración de datos por parte de una amenaza interna o de un atacante.

El parámetro blacklistedactionpatterns permite evaluar correctamente la regla para los buckets S3. El parámetro otorga acceso a cuentas externas para los patrones de acción que no están incluidos en la lista de blacklistedactionpatterns.

Corrección

Para actualizar una política de bucket de Amazon S3 para eliminar permisos, consulte. Agregar una política de bucket mediante la consola de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

En la página Editar política de bucket, en el cuadro de texto de edición de políticas, lleve a cabo una de las siguientes acciones:

  • Elimine las declaraciones que otorgan a otras Cuentas de AWS el acceso a las acciones denegadas.

  • Elimine las acciones denegadas permitidas de las declaraciones.

[S3.7] Los buckets de uso general de S3 deberían utilizar la replicación entre regiones

importante

El 12 de marzo de 2024, el título de este control cambió por el que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-36(2), NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoría: Proteger - Administración de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::S3::Bucket

AWS Config regla: s3-bucket-replication-enabled

Tipo de horario: provocado por un cambio

Parámetros:

  • ReplicationType: CROSS-REGION (no personalizable)

Este control comprueba si un bucket de uso general de Amazon S3 tiene habilitada la replicación entre regiones. El control falla si el bucket no tiene habilitada la replicación entre regiones.

La replicación consiste en la copia automática y asincrónica de objetos en depósitos iguales o diferentes. Regiones de AWS La replicación copia los objetos recientemente creados y las actualizaciones de objetos de un bucket de origen a un bucket o buckets de destino. Las mejores prácticas de AWS recomiendan la replicación de los buckets de origen y destino que son propiedad de la misma Cuenta de AWS. Además de la disponibilidad, debe plantearse otras configuraciones de protección de sistemas.

Corrección

Para habilitar la replicación entre regiones en un bucket S3, consulte Configuración de la replicación para los buckets de origen y destino que pertenecen a la misma cuenta en la Guía del usuario de Amazon Simple Storage Service. En el Bucket de origen, seleccione Aplicar a todos los objetos del bucket.

[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público

Requisitos relacionados: CIS AWS Foundations Benchmark v1.4.0/2.1.5, NiSt.800-53.r5 AC-21, NiSt.800-53.r5 AC-3, NiSt.800-53.r5 AC-3 (7), NiSt.800-53.r5 AC-4 (21), NIst.800-53.r5 AC-6, NIst.800-53.r5 SC-6 -7, NiSt.800-53.r5 SC-7 (11), NIst.800-53.r5 SC-7 (16), NIst.800-53.r5 SC-7 (20), NIst.800-53.r5 SC-7 (20), NIst.800-53.r5 SC-7 (4), NIst.800-53.r5 SC-7 (4), NIst.800-53.r5 SC-7 (4), NIst.800-53.r5 SC-7 (4) -7 (9)

Categoría: Proteger - Administración de acceso seguro > Control de acceso

Gravedad: alta

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-bucket-level-public-access-prohibited

Tipo de horario: provocado por un cambio

Parámetros:

  • excludedPublicBuckets (no personalizable): una lista separada por comas de nombres de buckets de S3 públicos permitidos conocidos

Este control comprueba si un bucket de uso general de Amazon S3 bloquea el acceso público a nivel de bucket. El control falla si alguna de las siguientes configuraciones está establecida enfalse:

  • ignorePublicAcls

  • blockPublicPolicy

  • blockPublicAcls

  • restrictPublicBuckets

Block Public Access a nivel de bucket de S3 proporciona controles para garantizar que los objetos nunca tengan acceso público. El acceso público se otorga a grupos y objetos a través de listas de control de acceso (ACL), políticas de bucket o ambas.

A menos que quiera que se pueda acceder públicamente a sus buckets de S3, debe configurar la característica de Bloqueo de acceso público de Amazon S3 de nivel de bucket.

Corrección

Para obtener información sobre cómo eliminar el acceso público a nivel de bucket, consulte Bloquear el acceso público a su almacenamiento de Amazon S3 en la Guía del usuario de Amazon S3.

[S3.9] Los depósitos de uso general de S3 deberían tener habilitado el registro de acceso al servidor

importante

El 12 de marzo de 2024, el título de este control cambió por el título que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-bucket-logging-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si el registro de acceso al servidor está habilitado para un bucket de uso general de Amazon S3. El control falla si el registro de acceso al servidor no está habilitado. Cuando activa el registro, Amazon S3 envía los registros de acceso de un bucket de origen a un bucket de destino que usted selecciona. El depósito de destino debe estar en el Región de AWS mismo lugar que el depósito de origen y no debe tener configurado un período de retención predeterminado. El bucket de registro de destino no necesita tener activado el registro de acceso al servidor, por lo que debe suprimir los resultados de este bucket.

El registro de acceso al servidor brinda registros detallados de las solicitudes realizadas a un bucket. Los registros de acceso al servidor pueden ayudar en auditorías de acceso y seguridad. Para obtener más información, consulte Prácticas recomendadas de seguridad para Amazon S3: Habilitar el registro de acceso al servidor de Amazon S3.

Corrección

Para habilitar el registro de acceso al servidor Amazon S3, consulte Habilitar el registro de acceso al servidor Amazon S3 en la Guía del usuario de Amazon S3.

[S3.10] Los depósitos de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida

importante

El 12 de marzo de 2024, el título de este control cambió por el que se muestra. Security Hub también eliminará este control en marzo de 2024 del estándar AWS Foundational Security Best Practices, pero seguirá incluyéndose en el estándar NIST SP 800-53 Rev. 5. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-version-lifecycle-policy-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un bucket versionado de uso general de Amazon S3 tiene una configuración de ciclo de vida. El control falla si el bucket no tiene una configuración de ciclo de vida.

Le recomendamos crear una configuración de ciclo de vida para su bucket de S3 que le ayude a definir las acciones que desea que Amazon S3 lleve a cabo durante la vida útil de un objeto.

Corrección

Para obtener más información sobre la configuración del ciclo de vida en un bucket de Amazon S3, consulte Establecer la configuración del ciclo de vida en un bucket y Administrar el ciclo de vida de almacenamiento.

[S3.11] Los buckets de uso general de S3 deberían tener habilitadas las notificaciones de eventos

importante

El 12 de marzo de 2024, el título de este control cambió por el título que se muestra. Security Hub también eliminará este control en marzo de 2024 del estándar AWS Foundational Security Best Practices, pero seguirá incluyéndose en el estándar NIST SP 800-53 Rev. 5:. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4(4)

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-event-notifications-enabled

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

eventTypes

Lista de tipos de eventos de S3 preferidos

EnumList (máximo de 28 artículos)

s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent

Sin valor predeterminado

Este control comprueba si las notificaciones de eventos de S3 están habilitadas en un bucket de uso general de Amazon S3. El control falla si las notificaciones de eventos de S3 no están habilitadas en el bucket. Si proporciona valores personalizados para el eventTypes parámetro, el control solo se transfiere si las notificaciones de eventos están habilitadas para los tipos de eventos especificados.

Al habilitar las notificaciones de eventos de S3, recibirá alertas cuando se produzcan eventos específicos que afecten a sus grupos de S3. Por ejemplo, puede recibir notificaciones sobre la creación, eliminación y restauración de objetos. Estas notificaciones pueden alertar a los equipos pertinentes sobre modificaciones accidentales o intencionales que puedan provocar el acceso no autorizado a los datos.

Corrección

Para obtener información sobre la detección de cambios en los buckets y objetos S3, consulte Notificaciones de eventos de Amazon S3 en la Guía del usuario de Amazon S3.

[S3.12] Las ACL no deben usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3

importante

El 12 de marzo de 2024, el título de este control cambió por el título que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6

Categoría: Proteger - Administración de acceso seguro > Control de acceso

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-bucket-acl-prohibited

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un bucket de uso general de Amazon S3 proporciona permisos de usuario con una lista de control de acceso (ACL). El control falla si se configura una ACL para administrar el acceso de los usuarios al bucket.

Las ACL son un mecanismo de control de acceso heredado anterior a IAM. En lugar de las ACL, recomendamos usar políticas de bucket de S3 o políticas AWS Identity and Access Management (IAM) para administrar el acceso a los buckets de S3.

Corrección

Para superar este control, debe deshabilitar las ACL de sus buckets S3. Para obtener instrucciones, consulte Control de la propiedad de los objetos y desactivación de las ACL de su bucket en la Guía del usuario de Simple Storage Service.

Para crear una política de bucket S3, consulte Agregar una política de bucket mediante la consola de Amazon S3. Para crear una política de usuario de IAM en un bucket de S3, consulte Controlar el acceso a un bucket con políticas de usuario.

[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida

importante

El 12 de marzo de 2024, el título de este control cambió por el que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoría: Proteger > Protección de datos

Gravedad: baja

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-lifecycle-policy-check

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

targetTransitionDays

Número de días después de crear los objetos cuando estos se trasladan a una clase de almacenamiento específico

Entero

De 1 a 36500

Sin valor predeterminado

targetExpirationDays

Número de días después de crear los objetos cuando estos se eliminan

Entero

De 1 a 36500

Sin valor predeterminado

targetTransitionStorageClass

Tipo de clase de almacenamiento de S3 de destino

Enum

STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE

Sin valor predeterminado

Este control comprueba si un bucket de uso general de Amazon S3 tiene una configuración de ciclo de vida. El control falla si el bucket no tiene una configuración de ciclo de vida. Si proporciona valores personalizados para uno o varios de los parámetros anteriores, el control solo pasa si la política incluye la clase de almacenamiento, el tiempo de eliminación o el tiempo de transición especificados.

Al crear una configuración de ciclo de vida para su bucket de S3, se definen las acciones que desea que Amazon S3 lleve a cabo durante la vida útil de un objeto. Por ejemplo, puede realizar la transición de objetos a otra clase de almacenamiento, archivarlos o eliminarlos después de un periodo de tiempo especificado.

Corrección

Para obtener información sobre cómo configurar las políticas de ciclo de vida en un bucket de Amazon S3, consulte Establecer la configuración del ciclo de vida en un bucket y consulte Administrar el ciclo de vida de almacenamiento en la Guía del usuario de Amazon S3.

[S3.14] Los buckets de uso general de S3 deberían tener habilitado el control de versiones

importante

El 12 de marzo de 2024, el título de este control cambió por el título que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos

Requisitos relacionados: NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

Gravedad: baja

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-bucket-versioning-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un bucket de uso general de Amazon S3 tiene activado el control de versiones. El control falla si se suspende el control de versiones del bucket.

El control de versiones conserva diversas variantes de un objeto en el mismo bucket de S3. Puede utilizar el control de versiones para conservar, recuperar y restaurar todas las versiones anteriores de los objetos almacenados en su bucket de S3. EL control de versiones de S3 le ayuda a recuperarse de acciones no deseadas del usuario y de errores de la aplicación.

sugerencia

A medida que aumenta el número de objetos en un depósito debido al control de versiones, puede configurar una configuración de ciclo de vida para archivar o eliminar automáticamente los objetos versionados en función de las reglas. Para obtener más información, consulte Administración del ciclo de vida de los objetos versionados de Amazon S3.

Corrección

Para usar el control de versiones en un bucket de S3, consulte Habilitar el control de versiones en buckets en la Guía del usuario de Amazon S3.

[S3.15] Los depósitos de uso general de S3 deberían tener activado Object Lock

importante

El 12 de marzo de 2024, el título de este control cambió por el título mostrado. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos

Requisitos relacionados: NIST.800-53.r5 CP-6(2)

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

AWS Config regla: s3-bucket-default-lock-enabled

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

mode

Modo de retención de Bloqueo de objetos de S3

Enum

GOVERNANCE, COMPLIANCE

Sin valor predeterminado

Este control comprueba si un depósito de uso general de Amazon S3 tiene activado Object Lock. El control falla si Object Lock no está habilitado para el depósito. Si proporciona un valor personalizado para el parámetro mode, el control solo pasa si el Bloqueo de objetos de S3 utiliza el modo de retención especificado.

Puede usar S3 Object Lock para almacenar objetos mediante un modelo write-once-read-many (WORM). S3 Bloqueo de objetos puede ayudar a evitar que se eliminen o se sobrescriban objetos durante un periodo de tiempo determinado o de manera indefinida. Puede usar Bloqueo de objetos de S3 para cumplir con los requisitos normativos que precisen de almacenamiento WORM o agregar una capa adicional de protección frente a cambios y eliminaciones de objetos.

Corrección

Para configurar Bloqueo de objetos para buckets de S3 nuevos y existentes, consulte Configuración del Bloqueo de objetos de S3 en la Guía del usuario de Amazon S3.

[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys

importante

El 12 de marzo de 2024, el título de este control cambió por el título mostrado. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Categoría: Proteger - Protección de datos - Cifrado de datos en reposo

Requisitos relacionados: NIST.800-53.r5 SC-12(2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 CA-9(1), NIST.800-53.r5 SI-7(6), NIST.800-53.r5 AU-9

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

AWS Config regla: s3-default-encryption-kms

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un bucket de uso general de Amazon S3 está cifrado con un AWS KMS key (SSE-KMS o DSSE-KMS). El control falla si el bucket está cifrado con el cifrado predeterminado (SSE-S3).

El cifrado del servidor (SSE) es el cifrado de datos en su destino por la aplicación o servicio que los recibe. A menos que especifique lo contrario, los buckets S3 usan claves administradas de Amazon S3 (SSE-S3) de forma predeterminada para el cifrado del servidor. Sin embargo, para tener un mayor control, puede optar por configurar los buckets para que utilicen el cifrado del lado del servidor con AWS KMS keys (SSE-KMS o DSSE-KMS) en su lugar. Amazon S3 cifra los datos a nivel de objeto a medida que los escribe en los discos de los centros de AWS datos y los descifra automáticamente cuando accede a ellos.

Corrección

Para cifrar un bucket de S3 mediante SSE-KMS, consulte Especificar el cifrado del lado del servidor con AWS KMS (SSE-KMS) en la Guía del usuario de Amazon S3. Para cifrar un bucket de S3 mediante DSSE-KMS, consulte Especificar el cifrado de doble capa del lado del servidor con AWS KMS keys (DSSE-KMS) en la Guía del usuario de Amazon S3.

[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público

Requisitos relacionados: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

Categoría: Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

Gravedad: crítica

Tipo de recurso: AWS::S3::AccessPoint

AWS Config regla: s3-access-point-public-access-blocks

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un punto de acceso de Amazon S3 tiene habilitada la configuración de Bloqueo de acceso público. Se produce un error en el control si la configuración de Bloqueo de acceso público no está habilitada para el punto de acceso.

La característica Bloqueo de acceso público de Amazon S3 ayuda a administrar el acceso a sus recursos de S3 en tres niveles: cuenta, bucket y punto de acceso. La configuración de cada nivel se puede configurar de forma independiente, lo que permite tener diferentes niveles de restricciones de acceso público para los datos. La configuración del punto de acceso no puede anular individualmente la configuración más restrictiva en los niveles superiores (nivel de cuenta o bucket asignado al punto de acceso). Por el contrario, la configuración a nivel del punto de acceso es acumulativa, lo que significa que complementa la configuración de los demás niveles y funciona junto con esta. A menos que pretenda que un punto de acceso de S3 sea de acceso público, debe habilitar la configuración de Bloqueo de acceso público.

Corrección

Amazon S3 actualmente no admite cambiar la configuración de bloqueo de acceso público de un punto de acceso después de que se haya creado el punto de acceso. Todas las configuraciones de Bloqueo de acceso público están habilitadas de forma predeterminada al crear un punto de acceso nuevo. Le recomendamos que deje todas las configuraciones habilitadas a menos que sepa que tiene una necesidad específica de desactivar cualquiera de ellas. Para más información, consulte Administración de acceso público a puntos de acceso en la Guía del usuario de Amazon Simple Storage Service.

[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA

Requisitos relacionados: CIS AWS Foundations Benchmark v1.4.0, NIst.800-53.r5 CA-9 (1), niST.800-53.r5 CM-2, niST.800-53.r5 CM-2 (2), NISt.800-53.r5 CM-3, NISt.800-53.r5 SC-5 (2)

Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos

Gravedad: baja

Tipo de recurso: AWS::S3::Bucket

AWS Config regla: s3-bucket-mfa-delete-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si la eliminación con autenticación multifactor (MFA) está habilitada en un bucket de uso general de Amazon S3. Se produce un error en el control si la eliminación de MFA no está habilitada en el bucket.

Cuando se trabaja con el control de versiones de S3 en buckets de Amazon S3, puede agregar de manera opcional otra capa de seguridad al configurar un bucket para habilitar la eliminación con MFA. Si lo hace, el propietario del bucket debe incluir dos formas de autenticación en cualquier solicitud para eliminar una versión o cambiar el estado de control de versiones del bucket. La eliminación de MFA refuerza la seguridad si sus credenciales de seguridad estén en riesgo. La eliminación con MFA también puede ayudar a evitar las eliminaciones accidentales de buckets, ya que requiere que el usuario que inicia la acción de eliminación pruebe la posesión física de un dispositivo de MFA con un código de MFA y agregue una capa adicional de fricción y seguridad a la acción de eliminación.

nota

La característica de eliminación con MFA requiere el control de versiones de buckets como dependencia. El control de versiones de buckets es un método para conservar diversas variantes de un objeto de S3 en el mismo bucket. Además, solo el propietario del bucket que haya iniciado sesión como usuario raíz puede habilitar la eliminación con MFA y adoptar medidas de eliminación en los buckets de S3.

Corrección

Para habilitar el control de versiones de S3 y configurar la eliminación con MFA en un bucket, consulte Configuración de la eliminación de MFA en la Guía del usuario de Amazon Simple Storage Service.