Bureaux de stockage d'objets Lightsail sécurisés

Le stockage d'objets Amazon Lightsail fournit un certain nombre de fonctionnalités de sécurité à prendre en compte lors de l'élaboration et de la mise en œuvre de vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.

Table des matières

• Bonnes pratiques de sécurité préventive

  • Implémentation d'un accès sur la base du moindre privilège

  • Vérifiez que vos compartiments Lightsail ne sont pas accessibles au public

  • Activer le blocage de l'accès public dans Amazon S3

  • Attachez des instances à des compartiments pour accorder un accès par programmation complet

  • Utilisez l'accès entre comptes pour permettre à d'autres AWS comptes d'accéder aux objets de votre compartiment

  • Chiffrement des données

  • Activation de la gestion des versions

• Bonnes pratiques de surveillance et d'audit

  • Activez la journalisation des accès et effectuez des audits réguliers de la sécurité et des accès

  • Identifier, étiqueter et auditer vos compartiments

  • Mise en œuvre de la AWS surveillance à l'aide d'outils

  • Utiliser AWS CloudTrail

  • Surveillez les avis AWS de sécurité

Bonnes pratiques de sécurité préventive

Les bonnes pratiques suivantes peuvent vous aider à prévenir les incidents de sécurité liés aux buckets Lightsail.

Implémentation d'un accès sur la base du moindre privilège

Lorsque vous accordez des autorisations, vous décidez qui obtient quelles autorisations pour quelles ressources Lightsail. Vous activez des actions spécifiques que vous souhaitez autoriser sur ces ressources. Par conséquent, vous devez accorder uniquement les autorisations qui sont requises pour exécuter une tâche. L'implémentation d'un accès sur la base du moindre privilège est fondamentale pour réduire les risques de sécurité et l'impact que pourraient avoir des d'erreurs ou des actes de malveillance.

Pour plus d'informations sur la création d'une politique IAM pour gérer les compartiments, veuillez consulter Politique IAM pour gérer les compartiments. Pour plus d'informations sur les actions Amazon S3 prises en charge par les buckets Lightsail, consultez la section Actions pour le stockage d'objets dans le manuel de référence de l'API Amazon Lightsail.

Vérifiez que vos compartiments Lightsail ne sont pas accessibles au public

Par défaut, les objets et les compartiments sont privés. Gardez votre compartiment privé en définissant l'autorisation d'accès au compartiment All objects are private (Tous les objets sont privés). Pour la plupart des cas d'utilisation, vous n'avez pas besoin de rendre public votre compartiment ou vos objets individuels. Pour plus d'informations, voir Configuration des autorisations d'accès pour les objets individuels dans un compartiment.

Cependant, si vous utilisez votre compartiment pour héberger des médias pour votre site web ou votre application, dans certains cas, vous pourriez avoir besoin de rendre publics votre compartiment ou des objets individuels. Vous pouvez configurer l'une des options suivantes pour rendre publics votre compartiment ou vos objets individuels :

• Si seuls certains objets d'un compartiment doivent être publics (en lecture seule) pour tout le monde sur Internet, remplacez l'autorisation d'accès au compartiment par Individual objects can be made public and read-only (Les objets individuels peuvent être rendus publics et accessibles en lecture seule), et n'autorisez l'accès Public (read-only) (Public (lecture seule)) que pour les objets qui doivent être publics. Cette option permet de garder le compartiment privé, mais vous permet de rendre publics des objets individuels. Ne rendez pas public un objet individuel s'il contient des informations sensibles ou confidentielles que vous ne souhaitez pas être publiquement accessibles. Si vous rendez publics des objets individuels, vous devez valider périodiquement l'accessibilité publique de chaque objet individuel.

  

• Si tous les objets du compartiment doivent être publics (en lecture seule) pour tout le monde sur Internet, remplacez l'autorisation d'accès au compartiment par All objects are public and read-only (Tous les objets sont publics et accessibles en lecture seule). N'utilisez pas cette option si des objets du compartiment contiennent des informations sensibles ou confidentielles.

  

• Si vous avez déjà rendu publics un compartiment ou des objets individuels, vous pouvez rapidement modifier le compartiment et tous ses objets pour qu'ils soient privés en remplaçant l'autorisation d'accès au compartiment par All objects are private (Tous les objets sont privés).

  

Activer le blocage de l'accès public dans Amazon S3

Les ressources de stockage d'objets Lightsail prennent en compte à la fois les autorisations d'accès au bucket Lightsail et les configurations d'accès public par blocage au niveau du compte Amazon S3 lorsqu'elles autorisent ou refusent l'accès public. Grâce au blocage de l'accès public au niveau du compte Amazon S3, les administrateurs de comptes et les propriétaires de compartiments peuvent limiter de manière centralisée l'accès public à leurs compartiments Amazon S3 et Lightsail. Bloquer l'accès public peut rendre privés tous les compartiments Amazon S3 et Lightsail, quelle que soit la manière dont les ressources sont créées et quelles que soient les autorisations individuelles des compartiments et des objets qui ont pu être configurées. Pour plus d'informations, veuillez consulter la section Blocage de l'accès public pour les compartiments.

Attachez des instances à des compartiments pour accorder un accès par programmation complet

L'association d'une instance à un bucket de stockage d'objets Lightsail est le moyen le plus sûr de fournir un accès au bucket. La fonctionnalité Resource access (Accès aux ressources), qui correspond à la façon dont vous attachez une instance à un compartiment, accorde à l'instance un accès par programmation complet au compartiment. Avec cette méthode, vous n'avez pas besoin de stocker les informations d'identification du compartiment directement dans l'instance ou l'application, ni de renouveler régulièrement les informations d'identification. Par exemple, certains WordPress plugins peuvent accéder à un bucket auquel l'instance a accès. Pour plus d'informations, consultez Configurer l'accès aux ressources pour un bucket et Tutoriel : Connecter un bucket à votre WordPress instance.

Toutefois, si l'application ne se trouve pas sur une instance Lightsail, vous pouvez créer et configurer des clés d'accès aux compartiments. Les clés d'accès au compartiment sont des informations d'identification à long terme qui ne sont pas automatiquement renouvelées.

Vous pouvez créer et utiliser des clés d'accès pour accorder aux applications ou aux plugins un accès par programmation complet aux objets de votre compartiment. Si vous utilisez une clé d'accès avec votre compartiment, vous devez régulièrement renouveler vos clés et faire l'inventaire des clés existantes. Vérifiez que la date à laquelle une clé d'accès a été utilisée pour la dernière fois et la date Région AWS à laquelle elle a été utilisée correspondent à vos attentes quant à la manière dont la clé doit être utilisée. La date à laquelle une clé d'accès a été utilisée pour la dernière fois est affichée dans la console Lightsail ; dans la section Clés d'accès de l'onglet Autorisations de la page de gestion d'un bucket. Supprimez les clés d'accès qui ne sont pas utilisées.

Si vous rendez publique accidentellement votre clé d'accès secrète, vous devez la supprimer et en créer une nouvelle. Vous pouvez disposer de jusqu'à deux clés d'accès par compartiment. Même si vous pouvez disposer de deux clés d'accès différentes en même temps, il est utile de ne pas utiliser une clé d'accès dans votre compartiment lorsque vous devez renouveler une clé avec un temps d'arrêt minimal. Pour renouveler une clé d'accès, créez-en une nouvelle, configurez-la dans votre logiciel et testez-la, puis supprimez la clé précédente. Lorsque vous supprimez une clé d'accès, elle disparaît définitivement et ne peut pas être récupérée. Elle ne peut être remplacée que par une nouvelle clé d'accès. Pour plus d'informations, veuillez consulter Création de clés d'accès pour un compartiment.

Utilisez l'accès entre comptes pour permettre à d'autres AWS comptes d'accéder aux objets de votre compartiment

Vous pouvez utiliser l'accès entre comptes pour rendre les objets d'un bucket accessibles à une personne spécifique possédant un AWS compte sans rendre le bucket et ses objets publics. Si vous avez configuré l'accès entre comptes, assurez-vous que les ID de compte répertoriés sont les comptes auxquels vous souhaitez donner accès aux objets de votre compartiment. Pour plus d'informations, veuillez consulter Configuration de l'accès entre comptes pour un compartiment.

Chiffrement des données

Lightsail effectue le chiffrement côté serveur à l'aide de clés gérées par Amazon et le chiffrement des données en transit en appliquant le protocole HTTPS (TLS). Le chiffrement côté serveur contribue à réduire les risques pour vos données en chiffrant celles-ci avec une clé qui est stockée dans un service distinct. En outre, le chiffrement des données en transit permet d'empêcher les attaquants potentiels d'espionner ou de manipuler le trafic réseau en utilisant person-in-the-middle des attaques ou des attaques similaires.

Activation de la gestion des versions

La gestion des versions est un moyen de conserver plusieurs variantes d'un objet dans un même compartiment. Vous pouvez utiliser le contrôle de version pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre bucket Lightsail. La gestion des versions permet de récupérer facilement les données en cas d'actions involontaires des utilisateurs ou de défaillances des applications. Pour plus d'informations, veuillez consulter Activation et suspension de la gestion des versions d'objet dans un compartiment.

Bonnes pratiques de surveillance et d'audit

Les meilleures pratiques suivantes peuvent aider à détecter les failles de sécurité et les incidents potentiels liés aux buckets Lightsail.

Activez la journalisation des accès et effectuez des audits réguliers de la sécurité et des accès

La journalisation des accès fournit des enregistrements détaillés pour les demandes soumises à un compartiment. Ces informations peuvent comprendre le type de demande (GET, PUT), les ressources spécifiées dans la demande, ainsi que l'heure et la date du traitement de la demande. Activez la journalisation des accès pour un compartiment et effectuez régulièrement un audit de sécurité et des accès pour identifier les entités qui accèdent à votre compartiment. Par défaut, Lightsail ne collecte pas les journaux d'accès à vos compartiments. Vous devez activer manuellement la journalisation des accès. Pour plus d'informations, veuillez consulter Journaux d'accès aux compartiments et Activer la journalisation des accès aux compartiments.

Identifiez, balisez et auditez vos compartiments Lightsail

L'identification de vos ressources informatiques est un aspect crucial de la gouvernance et de la sécurité. Vous devez avoir une visibilité sur tous vos buckets Lightsail pour évaluer leur niveau de sécurité et prendre des mesures pour remédier aux points faibles potentiels.

Utilisez l'identification pour identifier les ressources sensibles en termes de sécurité ou d'audit, puis les identifications générées lorsque vous devez rechercher ces ressources. Pour plus d'informations, veuillez consulter Balises.

Mise en œuvre de la surveillance à l'aide d'outils de surveillance AWS

La surveillance joue un rôle important dans le maintien de la fiabilité, de la sécurité, de la disponibilité et des performances des buckets Lightsail et des autres ressources. Vous pouvez surveiller et créer des alarmes de notification pour les métriques de taille du compartiment Number of objects (BucketSizeBytes) et (NumberOfObjects) dans Lightsail. Par exemple, vous pouvez souhaiter être averti lorsque la taille de votre compartiment augmente ou diminue jusqu'à une taille spécifique, ou lorsque le nombre d'objets de votre compartiment augmente ou diminue jusqu'à un nombre donné. Pour plus d'informations, veuillez consulter Création d'alarmes de métriques de compartiment.

Utiliser AWS CloudTrail

AWS CloudTrail fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans Lightsail. Vous pouvez utiliser les informations collectées CloudTrail pour déterminer la demande qui a été faite à Lightsail, l'adresse IP à partir de laquelle la demande a été faite, l'auteur de la demande, la date à laquelle elle a été faite et des informations supplémentaires. Par exemple, vous pouvez identifier les CloudTrail entrées pour les actions qui ont un impact sur l'accès aux donnéesCreateBucketAccessKey, en particulier GetBucketAccessKeysDeleteBucketAccessKey,SetResourceAccessForBucket,, etUpdateBucket. Lorsque vous configurez votre AWS compte, CloudTrail il est activé par défaut. Vous pouvez consulter les événements récents dans la CloudTrail console. Pour créer un enregistrement continu de l'activité et des événements de vos buckets Lightsail, vous pouvez créer un parcours dans la console. CloudTrail Pour plus d'informations, consultez la section Consignation d'événements de données pour les journaux d'activité du Guide de l'utilisateur AWS CloudTrail .

Surveillez les avis AWS de sécurité

Surveillez activement l'adresse e-mail principale associée au AWS compte. AWS vous contactera, à l'aide de cette adresse e-mail, au sujet des problèmes de sécurité émergents susceptibles de vous affecter.

AWS les problèmes opérationnels ayant un impact important sont publiés sur le AWS Service Health Dashboard. Les problèmes opérationnels sont également publiés dans les différents comptes via le tableau de bord d'état personnel. Pour plus d'informations, veuillez consulter la documentation AWS Health.