Bonnes pratiques de sécurité pour les compartiments de répertoires

Il existe différentes fonctionnalités de sécurité à prendre en compte lorsque vous travaillez avec des compartiments de répertoires. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des recommandations utiles plutôt que comme des prescriptions.

Paramètres de blocage d’accès public définis par défaut et de propriété des objets

Les compartiments de répertoires prennent en charge le blocage de l’accès public S3 et la propriété des objets S3. Ces fonctionnalités S3 sont utilisées pour auditer et gérer l’accès à vos compartiments et objets.

Par défaut, tous les paramètres de blocage de l’accès public des compartiments de répertoires sont activés. En outre, la propriété de l'objet est définie pour être appliquée par le propriétaire du compartiment, ce qui signifie que les listes de contrôle d'accès (ACLs) sont désactivées. Ces paramètres ne peuvent pas être modifiés. Pour plus d’informations sur ces fonctionnalités, consultez Blocage de l’accès public à votre stockage Amazon S3 et Contrôle de la propriété des objets et désactivation ACLs pour votre compartiment.

Note

Vous ne pouvez pas autoriser l’accès aux objets stockés dans des compartiments de répertoires. Vous pouvez accorder l’accès uniquement à vos compartiments de répertoires. Le modèle d’autorisation pour S3 Express One Zone est différent du modèle d’autorisation pour Amazon S3. Pour plus d’informations, consultez Autorisation des opérations d’API de point de terminaison zonal avec CreateSession.

Authentification et autorisation

Les mécanismes d’authentification et d’autorisation pour les compartiments de répertoires diffèrent selon que vous envoyez des demandes aux opérations d’API de point de terminaison zonal ou aux opérations d’API de point de terminaison régional. Les opérations d’API zonales sont des opérations de niveau objet (plan de données). Les opérations d’API régionales sont des opérations de niveau compartiment (plan de contrôle).

Vous authentifiez et autorisez les demandes adressées aux opérations d’API de point de terminaison zonal par le biais d’un nouveau mécanisme basé sur les sessions, optimisé pour fournir une latence minimale. Avec l'authentification basée sur les sessions, ils AWS SDKs utilisent l'opération CreateSession API pour demander des informations d'identification temporaires qui fournissent un accès à faible latence à votre compartiment d'annuaire. Ces informations d’identification temporaires sont limitées à un compartiment de répertoires spécifique et expirent au bout de 5 minutes. Vous pouvez utiliser ces informations d’identification temporaires pour signer des appels d’API zonaux (niveau objet). Pour de plus amples informations, veuillez consulter Autorisation des opérations d’API de point de terminaison zonal avec CreateSession.

Signature des demandes avec des informations d’identification pour la gestion des compartiments de répertoires

Vous utilisez vos informations d'identification pour signer les demandes d'API du point de terminaison zonal (niveau objet) avec AWS Signature Version 4, s3express comme nom de service. Lorsque vous signez vos demandes, utilisez la clé secrète renvoyée par CreateSession et fournissez également le jeton de session avec x-amzn-s3session-token header. Pour de plus amples informations, consultez .CreateSession.

Les personnes prises en charge AWS SDKs gèrent les informations d'identification et la signature en votre nom. Nous vous recommandons d'utiliser le AWS SDKs pour actualiser les informations d'identification et signer les demandes pour vous.

Signature de demandes avec des informations d’identification IAM

Tous les appels d’API régionaux (niveau compartiment) doivent être authentifiés et signés par des informations d’identification AWS Identity and Access Management (IAM) plutôt que par des informations d’identification de session temporaires. Les informations d’identification IAM comprennent l’ID de clé d’accès et la clé d’accès secrète des identités IAM. Toutes les demandes CopyObject et HeadBucket doivent également être authentifiées et signées au moyen d’informations d’identification IAM.

Pour réduire au maximum la latence de vos appels d’opérations zonaux (niveau objet), nous vous recommandons d’utiliser les informations d’identification obtenues lors de l’appel de CreateSession pour signer vos demandes, à l’exception des demandes adressées à CopyObject et HeadBucket.

Utiliser AWS CloudTrail

AWS CloudTrail fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un Service AWS dans Amazon S3. Vous pouvez utiliser les informations collectées par CloudTrail pour déterminer les éléments suivants :

• La demande qui a été adressée à Amazon S3

• L’adresse IP à partir de laquelle la demande a été effectuée

• La personne ayant effectué la demande

• La date et l’heure où la demande a été effectuée

• Des détails supplémentaires sur la demande

Lorsque vous configurez votre Compte AWS, les événements CloudTrail de gestion sont activés par défaut. Les opérations d'API de point de terminaison régional suivantes (opérations d'API au niveau du compartiment ou du plan de contrôle, opérations d'API) sont enregistrées. CloudTrail

• CreateBucket

• DeleteBucket

• DeleteBucketPolicy

• PutBucketPolicy

• GetBucketPolicy

• ListDirectoryBuckets

• ListMultipartUploads

• PutBucketEncryption

• GetBucketEncryption

• DeleteBucketEncryption

Note

ListMultipartUploads est une opération d’API de point de terminaison zonal. Toutefois, il est enregistré en CloudTrail tant qu'événement de gestion. Pour de plus amples informations, consultez .ListMultipartUploadsdans le manuel Amazon Simple Storage Service API Reference.

Par défaut, les CloudTrail sentiers n'enregistrent pas les événements de données, mais vous pouvez configurer les sentiers pour qu'ils enregistrent les événements de données pour les compartiments de répertoire que vous spécifiez ou pour enregistrer les événements de données pour tous les compartiments de répertoire de votre AWS compte. Les opérations d'API de point de terminaison zonales suivantes (opérations d'API au niveau de l'objet ou du plan de données, opérations d'API) sont enregistrées. CloudTrail

• AbortMultipartUpload

• CompleteMultipartUpload

• CreateSession

• CopyObject

• CreateMultipartUpload

• DeleteObject

• DeleteObjects

• GetObject

• GetObjectAttributes

• HeadBucket

• HeadObject

• ListObjectsV2

• ListParts

• PutObject

• UploadPart

• UploadPartCopy

Pour plus d'informations sur l'utilisation AWS CloudTrail des compartiments de répertoire, consultez la section Logging with AWS CloudTrail pour les compartiments de répertoire.

Mettre en œuvre la surveillance à l'aide d'outils AWS de surveillance

La surveillance joue un rôle important dans le maintien de la fiabilité, de la sécurité, de la disponibilité et des performances d'Amazon S3 et de vos AWS solutions. AWS fournit plusieurs outils et services pour vous aider à surveiller Amazon S3 et vos autres Services AWS. Par exemple, vous pouvez surveiller CloudWatch les métriques Amazon pour Amazon S3, en particulier les métriques NumberOfObjects de stockage BucketSizeBytes et.

Les objets stockés dans les compartiments de répertoires ne seront pas reflétés dans les métriques de stockage BucketSizeBytes et NumberOfObjects d’Amazon S3. Toutefois, les métriques de stockage BucketSizeBytes et NumberOfObjects sont prises en charge pour les compartiments de répertoires. Pour consulter les métriques de votre choix, vous pouvez différencier les classes de stockage Amazon S3 en spécifiant une dimension StorageType. Pour de plus amples informations, veuillez consulter Surveillance des métriques avec Amazon CloudWatch.

Pour plus d’informations, consultez Surveillance des métriques avec Amazon CloudWatch et Journalisation et surveillance dans Amazon S3.