Sécurité de l'infrastructure dans Amazon S3

En tant que service géré, Amazon S3 est protégé par les procédures de sécurité du réseau AWS mondial décrites dans le pilier de sécurité du AWS Well-Architected Framework.

L'accès à Amazon S3 via le réseau se fait via la AWS publicationAPIs. Les clients doivent prendre en charge le protocole Transport Layer Security (TLS) 1.2. Nous recommandons également de prendre en charge la TLS version 1.3. (Pour plus d'informations sur cette recommandation, consultez la section Connexions AWS cloud plus rapides avec la TLS version 1.3 sur le blog sur la AWS sécurité.) Les clients doivent également prendre en charge les suites de chiffrement dotées de Perfect Forward Secrecy (PFS), telles que Ephemeral Diffie-Hellman () ou Elliptic Curve Diffie-Hellman Ephemeral (DHE). ECDHE En outre, les demandes doivent être signées à l'aide de AWS la signature V4 ou de AWS la signature V2, ce qui nécessite la fourniture d'informations d'identification valides.

Ils APIs sont appelables depuis n'importe quel emplacement du réseau. Toutefois, Amazon S3 prend bel et bien en charge les stratégies d'accès basées sur les ressources, ce qui peut inclure des restrictions en fonction de l'adresse IP source. Vous pouvez également utiliser les politiques relatives aux compartiments Amazon S3 pour contrôler l'accès aux compartiments à partir de points de terminaison de cloud privé virtuel (VPC) spécifiques, ou spécifiques. VPCs En fait, cela permet d'isoler l'accès réseau à un compartiment Amazon S3 donné uniquement de l'accès spécifique VPC au sein du AWS réseau. Pour de plus amples informations, veuillez consulter Contrôle de l'accès depuis les VPC terminaux à l'aide de politiques relatives aux compartiments.

Les bonnes pratiques de sécurité suivantes s'appliquent également à la sécurité de l'infrastructure dans Amazon S3 :

• Consider VPC endpoints for Amazon S3 access

• Identify and audit all your Amazon S3 buckets