Sécurité de l'infrastructure dans Amazon S3

En tant que service géré, Amazon S3 est protégé par les procédures de sécurité du réseau AWS mondial décrites dans le pilier de sécurité du AWS Well-Architected Framework.

L'accès à Amazon S3 via le réseau se fait via des API AWS publiées. Les clients doivent prendre en charge le protocole TLS (Transport Layer Security) 1.2. Nous recommandons également la prise en charge de TLS 1.3. (Pour plus d'informations sur cette recommandation, consultez la section Connexions AWS cloud plus rapides avec TLS 1.3 sur le blog AWS de sécurité.) Les clients doivent également prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). En outre, les demandes doivent être signées à l'aide de AWS la signature V4 ou de AWS la signature V2, ce qui nécessite la fourniture d'informations d'identification valides.

Ces API peuvent être appelées depuis n'importe quel emplacement réseau. Toutefois, Amazon S3 prend bel et bien en charge les stratégies d'accès basées sur les ressources, ce qui peut inclure des restrictions en fonction de l'adresse IP source. Vous pouvez aussi utiliser des stratégies de compartiment Amazon S3 pour contrôler l'accès aux compartiments à partir de points de terminaison de Virtual Private Cloud (VPC) spécifiques ou de VPC spécifiques. En fait, cela isole l'accès réseau à un compartiment Amazon S3 donné uniquement du VPC spécifique au sein AWS du réseau. Pour plus d’informations, consultez Contrôle de l'accès à partir des points de terminaison d'un VPC avec des stratégies de compartiment.

Les bonnes pratiques de sécurité suivantes s'appliquent également à la sécurité de l'infrastructure dans Amazon S3 :

• Consider VPC endpoints for Amazon S3 access

• Identify and audit all your Amazon S3 buckets