Contrôles Amazon Simple Storage Service - AWS Security Hub
[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL[S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public[S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général[S3.12] Les ACL ne doivent pas être utilisées pour gérer l'accès des utilisateurs aux buckets S3 à usage général[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée[S3.15] Object Lock doit être activé dans les compartiments S3 à usage général[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Amazon Simple Storage Service

Ces contrôles sont liés aux ressources Amazon S3.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.

[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés

Important

Le 12 mars 2024, le titre de ce contrôle est devenu le titre affiché. Pour plus d’informations, consultez Journal des modifications pour les contrôles du Security Hub.

Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.R5 AC-21, AC.800-53.R5 -3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20)), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9 )

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config  : s3-account-level-public-access-blocks-periodic

Type de calendrier : Périodique

Paramètres :

  • ignorePublicAcls: true (non personnalisable)

  • blockPublicPolicy: true (non personnalisable)

  • blockPublicAcls: true (non personnalisable)

  • restrictPublicBuckets: true (non personnalisable)

Ce contrôle vérifie si les paramètres d'accès public de bloc Amazon S3 précédents sont configurés au niveau du compte pour un compartiment S3 à usage général. Le contrôle échoue si un ou plusieurs paramètres de blocage de l'accès public sont définis surfalse.

Le contrôle échoue si l'un des paramètres est défini sur ou s'il n'est pas configuré. false

Le bloc d'accès public Amazon S3 est conçu pour fournir des contrôles sur l'ensemble Compte AWS ou au niveau d'un compartiment S3 individuel afin de garantir que les objets ne soient jamais accessibles au public. Un accès public est accordé aux compartiments et objets via des listes de contrôle d'accès (ACL), des stratégies de compartiment, ou via les deux.

À moins que vous n'ayez l'intention de rendre vos compartiments S3 accessibles au public, vous devez configurer la fonctionnalité Amazon S3 Block Public Access au niveau du compte.

Pour en savoir plus, consultez la section Utilisation d'Amazon S3 Block Public Access dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Correction

Pour activer Amazon S3 Block Public Access pour votre compte Compte AWS, consultez la section Configuration des paramètres de blocage de l'accès public pour votre compte dans le guide de l'utilisateur d'Amazon Simple Storage Service.

[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture

Important

Le 12 mars 2024, le titre de ce contrôle est devenu le titre affiché. Pour plus d’informations, consultez Journal des modifications pour les contrôles du Security Hub.

Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (21) 53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Critique

Type de ressource : AWS::S3::Bucket

Règle AWS Config  : s3-bucket-public-read-prohibited

Type de calendrier : périodique et déclenché par des modifications

Paramètres : Aucun

Ce contrôle vérifie si un compartiment à usage général Amazon S3 autorise l'accès public en lecture. Il évalue les paramètres de blocage d'accès public, la stratégie de compartiment et la liste de contrôle d'accès (ACL) du compartiment. Le contrôle échoue si le bucket autorise l'accès public en lecture.

Certains cas d'utilisation peuvent nécessiter que tout le monde sur Internet soit capable de lire depuis votre compartiment S3. Cependant, ces situations sont rares. Pour garantir l'intégrité et la sécurité de vos données, votre compartiment S3 ne doit pas être lisible publiquement.

Correction

Pour bloquer l'accès public en lecture sur vos compartiments Amazon S3, consultez la section Configuration des paramètres de blocage de l'accès public pour vos compartiments S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture

Important

Le 12 mars 2024, le titre de ce contrôle est devenu le titre affiché. Pour plus d’informations, consultez Journal des modifications pour les contrôles du Security Hub.

Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (20), NIST.800-R53. 5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Critique

Type de ressource : AWS::S3::Bucket

Règle AWS Config  : s3-bucket-public-write-prohibited

Type de calendrier : périodique et déclenché par des modifications

Paramètres : Aucun

Ce contrôle vérifie si un compartiment à usage général Amazon S3 autorise l'accès public en écriture. Il évalue les paramètres de blocage d'accès public, la stratégie de compartiment et la liste de contrôle d'accès (ACL) du compartiment. Le contrôle échoue si le bucket autorise l'accès public en écriture.

Certains cas d'utilisation nécessitent que tout le monde sur Internet puisse écrire dans votre compartiment S3. Cependant, ces situations sont rares. Pour garantir l'intégrité et la sécurité de vos données, votre compartiment S3 ne doit pas accorder l’accès public en écriture.

Correction

Pour bloquer l'accès public en écriture à vos compartiments Amazon S3, consultez la section Configuration des paramètres de blocage de l'accès public pour vos compartiments S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL

Important

Le 12 mars 2024, le titre de ce contrôle est devenu le titre affiché. Pour plus d’informations, consultez Journal des modifications pour les contrôles du Security Hub.

Exigences associées : CIS AWS Foundations Benchmark v3.0.0/2.1.1, CIS AWS Foundations Benchmark v1.4.0/2.1.2, PCI DSS v3.2.1/4.1, Nist.800-53.R5 AC-17 (2), Nist.800-53.R5 AC-4, Nist.800-53.R5 IA-5 (1), NIST.800-53.R5 SC-12 (3), NIST.800-53.R5 SC-13, Nist.800-53.R5 SC-13 800-53.R5 SC-23, NIST.800-53.R5 SC-23 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SI-7 (6)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::S3::Bucket

Règle AWS Config  : s3-bucket-ssl-requests-only

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un compartiment à usage général Amazon S3 possède une politique qui exige que les demandes utilisent le protocole SSL. Le contrôle échoue si la politique du bucket n'exige pas que les demandes utilisent le protocole SSL.

Les compartiments S3 doivent avoir des politiques qui obligent toutes les requêtes (Action: S3:*) à accepter uniquement la transmission de données via HTTPS dans la politique de ressources S3, indiquée par la clé aws:SecureTransport de condition.

Correction

Pour mettre à jour une politique de compartiment Amazon S3 afin de refuser le transport non sécurisé, consultez la section Ajout d'une politique de compartiment à l'aide de la console Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Ajoutez une déclaration de politique similaire à celle de la stratégie suivante. DOC-EXAMPLE-BUCKETRemplacez-le par le nom du bucket que vous modifiez.

{
    "Id": "ExamplePolicy",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}

Pour plus d'informations, consultez Quelle politique de compartiment S3 dois-je utiliser pour me conformer à la AWS Config règle s3- bucket-ssl-requests-only ? dans le centre de connaissances AWS officiel.

[S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS

Important

Le 12 mars 2024, le titre de ce contrôle est devenu le titre affiché. Pour plus d’informations, consultez Journal des modifications pour les contrôles du Security Hub.

Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2

Catégorie : Protection > Gestion des accès sécurisés > Actions d'opérations d'API sensibles restreintes

Gravité : Élevée

Type de ressource : AWS::S3::Bucket

Règle AWS Config :s3-bucket-blacklisted-actions-prohibited

Type de calendrier : changement déclenché

Paramètres :

  • blacklistedactionpatterns: s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl (non personnalisable)

Ce contrôle vérifie si une politique de compartiment à usage général d'Amazon S3 empêche les principaux d' Comptes AWS effectuer des actions refusées sur les ressources du compartiment S3. Le contrôle échoue si la politique du bucket autorise une ou plusieurs des actions précédentes pour un principal dans un autre Compte AWS.

La mise en œuvre de l'accès avec le moindre privilège est fondamentale pour réduire les risques de sécurité et l'impact des erreurs ou des intentions malveillantes. Si une politique de compartiment S3 autorise l'accès depuis des comptes externes, cela peut entraîner l'exfiltration de données par une menace interne ou un attaquant.

Le blacklistedactionpatterns paramètre permet une évaluation réussie de la règle pour les compartiments S3. Le paramètre donne accès à des comptes externes pour les modèles d'action qui ne sont pas inclus dans la blacklistedactionpatterns liste.

Correction

Pour mettre à jour une politique de compartiment Amazon S3 afin de supprimer des autorisations, consultez. Ajout d'une politique de compartiment à l'aide de la console Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Sur la page Modifier la politique du compartiment, dans la zone de texte d'édition de la politique, effectuez l'une des actions suivantes :

  • Supprimez les déclarations qui accordent à d'autres personnes Comptes AWS l'accès aux actions refusées.

  • Supprimez les actions refusées autorisées des déclarations.

[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions

Important

Le 12 mars 2024, le titre de ce contrôle est devenu le titre affiché. Pour plus d’informations, consultez Journal des modifications pour les contrôles du Security Hub.

Exigences connexes : PCI DSS v3.2.1/2.2, nIST.800-53.R5 AU-9 (2), nIST.800-53.R5 CP-10, nIST.800-53.R5 CP-6, nIST.800-53.R5 CP-6 (1), nIST.800-53.R5 CP-6 (2), nIST.800-53.R5 CP-9, NIST.800-53.R5 SC-5 36 (2), NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::S3::Bucket

AWS Config règle : s3-bucket-cross-region-replication-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la réplication entre régions est activée dans un compartiment à usage général Amazon S3. Le contrôle échoue si la réplication entre régions n'est pas activée sur le compartiment.

La réplication est la copie automatique et asynchrone d'objets dans des compartiments identiques ou différents. Régions AWS La réplication copie les objets nouvellement créés et les mises à jour d'objets d'un compartiment source vers un ou plusieurs compartiments de destination. AWS les meilleures pratiques recommandent la réplication pour les compartiments source et de destination qui leur appartiennent. Compte AWS En plus de la disponibilité, vous devriez envisager d'autres paramètres de sécurisation renforcée des systèmes.

Correction

Pour activer la réplication entre régions sur un compartiment S3, consultez la section Configuration de la réplication pour les compartiments source et de destination appartenant au même compte dans le guide de l'utilisateur d'Amazon Simple Storage Service. Pour le compartiment source, choisissez Appliquer à tous les objets du compartiment.

[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, Nist.800-53.R5 AC-21, Nist.800-53.R5 AC-3, Nist.800-53.R5 AC-3 (7), Nist.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, Nist.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Catégorie : Protéger > Gestion des accès sécurisés > Contrôle d'accès

Gravité : Élevée

Type de ressource : AWS::S3::Bucket

Règle AWS Config  : s3-bucket-level-public-access-prohibited

Type de calendrier : changement déclenché

Paramètres :

  • excludedPublicBuckets(non personnalisable) — Liste séparée par des virgules des noms de compartiments publics S3 connus et autorisés

Ce contrôle vérifie si un bucket Amazon S3 à usage général bloque l'accès public au niveau du bucket. Le contrôle échoue si l'un des paramètres suivants est défini sur false :

  • ignorePublicAcls

  • blockPublicPolicy

  • blockPublicAcls

  • restrictPublicBuckets

Bloquer l'accès public au niveau du compartiment S3 fournit des contrôles pour garantir que les objets n'ont jamais d'accès public. Un accès public est accordé aux compartiments et objets via des listes de contrôle d'accès (ACL), des stratégies de compartiment, ou via les deux.

À moins que vous n'ayez l'intention de rendre vos compartiments S3 accessibles au public, vous devez configurer la fonctionnalité Amazon S3 Block Public Access au niveau du bucket.

Correction

Pour plus d'informations sur la façon de supprimer l'accès public au niveau d'un bucket, consultez la section Blocage de l'accès public à votre espace de stockage Amazon S3 dans le guide de l'utilisateur Amazon S3.

[S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général

Important

Le 12 mars 2024, le titre de ce contrôle est devenu le titre affiché. Pour plus d’informations, consultez Journal des modifications pour les contrôles du Security Hub.

Exigences connexes : NIST.800-53.R5 AC-2 (4), NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AC-6 (9), NIST.800-53.R5 AU-10, NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NIST.800-53.R5 SC-7 (9), NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::S3::Bucket

Règle AWS Config  : s3-bucket-logging-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la journalisation des accès au serveur est activée pour un compartiment à usage général Amazon S3. Le contrôle échoue si la journalisation des accès au serveur n'est pas activée. Lorsque la journalisation est activée, Amazon S3 fournit les journaux d'accès d'un compartiment source à un compartiment cible choisi. Le compartiment cible doit se trouver dans le même compartiment Région AWS que le compartiment source et aucune période de rétention par défaut ne doit être configurée. Il n'est pas nécessaire que la journalisation des accès au serveur soit activée pour le compartiment de journalisation cible, et vous devez supprimer les résultats relatifs à ce compartiment.

La journalisation des accès au serveur fournit des enregistrements détaillés des demandes adressées à un bucket. Les journaux d'accès aux serveurs peuvent faciliter les audits de sécurité et d'accès. Pour plus d'informations, consultez Bonnes pratiques de sécurité pour Amazon S3 : activer la journalisation des accès au serveur Amazon S3.

Correction

Pour activer la journalisation de l'accès au serveur Amazon S3, consultez la section Activation de la journalisation de l'accès au serveur Amazon S3 dans le guide de l'utilisateur Amazon S3.

[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie

Important

Le 12 mars 2024, le titre de ce contrôle est devenu le titre affiché. Security Hub a retiré ce contrôle en avril 2024 de la norme AWS Foundational Security Best Practices, mais il est toujours inclus dans la norme NIST SP 800-53 Rev. 5. Pour plus d’informations, consultez Journal des modifications pour les contrôles du Security Hub.

Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::S3::Bucket

Règle AWS Config  : s3-version-lifecycle-policy-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un compartiment versionné à usage général Amazon S3 possède une configuration Lifecycle. Le contrôle échoue si le bucket n'a pas de configuration Lifecycle.

Nous vous recommandons de créer une configuration du cycle de vie pour votre compartiment S3 afin de vous aider à définir les actions que vous souhaitez qu'Amazon S3 entreprenne pendant le cycle de vie d'un objet.

Correction

Pour plus d'informations sur la configuration du cycle de vie d'un compartiment Amazon S3, consultez Configuration de la configuration du cycle de vie d'un compartiment et Gestion du cycle de vie de votre stockage.

[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général

Important

Le 12 mars 2024, le titre de ce contrôle est devenu le titre affiché. Security Hub a retiré ce contrôle en avril 2024 de la norme AWS Foundational Security Best Practices, mais il est toujours inclus dans la norme NIST SP 800-53 Rev. 5 :. Pour plus d’informations, consultez Journal des modifications pour les contrôles du Security Hub.

Exigences connexes : NIST.800-53.R5 CA-7, NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (4)

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::S3::Bucket

Règle AWS Config  : s3-event-notifications-enabled

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

eventTypes

Liste des types d'événements S3 préférés

EnumList (maximum de 28 articles)

s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent

Aucune valeur par défaut

Ce contrôle vérifie si les notifications d'événements S3 sont activées sur un compartiment Amazon S3 à usage général. Le contrôle échoue si les notifications d'événements S3 ne sont pas activées sur le compartiment. Si vous fournissez des valeurs personnalisées pour le eventTypes paramètre, le contrôle est transmis uniquement si les notifications d'événements sont activées pour les types d'événements spécifiés.

Lorsque vous activez les notifications d'événements S3, vous recevez des alertes lorsque des événements spécifiques se produisent et ont un impact sur vos compartiments S3. Par exemple, vous pouvez être informé de la création, de la suppression ou de la restauration d'objets. Ces notifications peuvent alerter les équipes concernées en cas de modifications accidentelles ou intentionnelles susceptibles d'entraîner un accès non autorisé aux données.

Correction

Pour plus d'informations sur la détection des modifications apportées aux compartiments et aux objets S3, consultez les notifications d'événements Amazon S3 dans le guide de l'utilisateur Amazon S3.

[S3.12] Les ACL ne doivent pas être utilisées pour gérer l'accès des utilisateurs aux buckets S3 à usage général

Important

Le 12 mars 2024, le titre de ce contrôle est devenu le titre affiché. Pour plus d’informations, consultez Journal des modifications pour les contrôles du Security Hub.

Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-6

Catégorie : Protéger > Gestion des accès sécurisés > Contrôle d'accès

Gravité : Moyenne

Type de ressource : AWS::S3::Bucket

Règle AWS Config  : s3-bucket-acl-prohibited

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un compartiment à usage général Amazon S3 fournit des autorisations aux utilisateurs avec une liste de contrôle d'accès (ACL). Le contrôle échoue si une ACL est configurée pour gérer l'accès des utilisateurs sur le bucket.

Les ACL sont des mécanismes de contrôle d'accès hérités antérieurs à l'IAM. Au lieu des ACL, nous vous recommandons d'utiliser des politiques de compartiment S3 ou des politiques AWS Identity and Access Management (IAM) pour gérer l'accès à vos compartiments S3.

Correction

Pour passer ce contrôle, vous devez désactiver les ACL pour vos compartiments S3. Pour obtenir des instructions, consultez la section Contrôle de la propriété des objets et désactivation des ACL pour votre compartiment dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Pour créer une politique de compartiment S3, consultez Ajouter une politique de compartiment à l'aide de la console Amazon S3. Pour créer une politique utilisateur IAM sur un compartiment S3, consultez la section Contrôle de l'accès à un compartiment avec des politiques utilisateur.

[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie

Important

Le 12 mars 2024, le titre de ce contrôle est devenu le titre affiché. Pour plus d’informations, consultez Journal des modifications pour les contrôles du Security Hub.

Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Catégorie : Protéger > Protection des données

Gravité : Faible

Type de ressource : AWS::S3::Bucket

Règle AWS Config  : s3-lifecycle-policy-check

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

targetTransitionDays

Nombre de jours après la création de l'objet lorsque les objets sont transférés vers une classe de stockage spécifiée

Entier

1 sur 36500

Aucune valeur par défaut

targetExpirationDays

Nombre de jours après la création de l'objet lorsque les objets sont supprimés

Entier

1 sur 36500

Aucune valeur par défaut

targetTransitionStorageClass

Type de classe de stockage S3 de destination

Enum

STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE

Aucune valeur par défaut

Ce contrôle vérifie si un compartiment à usage général Amazon S3 possède une configuration Lifecycle. Le contrôle échoue si le bucket n'a pas de configuration Lifecycle. Si vous fournissez des valeurs personnalisées pour un ou plusieurs des paramètres précédents, le contrôle est effectué uniquement si la politique inclut la classe de stockage, le délai de suppression ou le temps de transition spécifiés.

La création d'une configuration du cycle de vie pour votre compartiment S3 définit les actions que vous souhaitez qu'Amazon S3 entreprenne pendant le cycle de vie d'un objet. Par exemple, vous pouvez transférer des objets vers une autre classe de stockage, les archiver ou les supprimer après une période spécifiée.

Correction

Pour plus d'informations sur la configuration des politiques de cycle de vie d'un compartiment Amazon S3, consultez Configuration de la configuration du cycle de vie d'un compartiment et Gestion du cycle de vie du stockage dans le guide de l'utilisateur Amazon S3.

[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée

Important

Le 12 mars 2024, le titre de ce contrôle est devenu le titre affiché. Pour plus d’informations, consultez Journal des modifications pour les contrôles du Security Hub.

Catégorie : Protéger > Protection des données > Protection contre la suppression des données

Exigences connexes : NIST.800-53.R5 AU-9 (2), NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 (2), NIST.800-53.R5 R5 SI-12, NIST.800-53.R5 SI-13 (5)

Gravité : Faible

Type de ressource : AWS::S3::Bucket

Règle AWS Config  : s3-bucket-versioning-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le versionnement est activé dans un compartiment à usage général Amazon S3. Le contrôle échoue si la gestion des versions est suspendue pour le compartiment.

La gestion des versions conserve plusieurs variantes d'un objet dans le même compartiment S3. Vous pouvez utiliser le versionnement pour préserver, récupérer et restaurer les versions antérieures d'un objet stocké dans votre compartiment S3. La gestion des versions vous aide à vous remettre à la fois des actions involontaires de l'utilisateur et des défaillances d'applications.

Astuce

À mesure que le nombre d'objets dans un compartiment augmente en raison du versionnement, vous pouvez configurer une configuration Lifecycle pour archiver ou supprimer automatiquement les objets versionnés en fonction de règles. Pour plus d'informations, consultez Amazon S3 Lifecycle Management pour les objets versionnés.

Correction

Pour utiliser la gestion des versions sur un compartiment S3, consultez la section Activation de la gestion des versions sur des compartiments dans le guide de l'utilisateur Amazon S3.

[S3.15] Object Lock doit être activé dans les compartiments S3 à usage général

Important

Le 12 mars 2024, le titre de ce contrôle est devenu le titre affiché. Pour plus d’informations, consultez Journal des modifications pour les contrôles du Security Hub.

Catégorie : Protéger > Protection des données > Protection contre la suppression des données

Exigences connexes : NIST.800-53.R5 CP-6 (2)

Gravité : Moyenne

Type de ressource : AWS::S3::Bucket

AWS Config règle : s3-bucket-default-lock-enabled

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

mode

Mode de rétention S3 Object Lock

Enum

GOVERNANCE, COMPLIANCE

Aucune valeur par défaut

Ce contrôle vérifie si Object Lock est activé sur un bucket Amazon S3 à usage général. Le contrôle échoue si Object Lock n'est pas activé pour le bucket. Si vous fournissez une valeur personnalisée pour le mode paramètre, le contrôle est transmis uniquement si S3 Object Lock utilise le mode de rétention spécifié.

Vous pouvez utiliser S3 Object Lock pour stocker des objets à l'aide d'un modèle write-once-read-many (WORM). Object Lock peut aider à empêcher la suppression ou le remplacement d'objets dans des compartiments S3 pendant une durée déterminée ou indéfiniment. Vous pouvez utiliser le verrouillage des objets S3 pour satisfaire aux exigences réglementaires qui nécessitent le stockage WORM, ou pour ajouter une couche supplémentaire de protection contre la suppression et les modifications d'objet.

Correction

Pour configurer le verrouillage des objets pour les compartiments S3 nouveaux et existants, consultez la section Configuration du verrouillage des objets S3 dans le guide de l'utilisateur Amazon S3.

[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys

Important

Le 12 mars 2024, le titre de ce contrôle est devenu le titre affiché. Pour plus d’informations, consultez Journal des modifications pour les contrôles du Security Hub.

Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest

Exigences connexes : NIST.800-53.R5 SC-12 (2), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28, NIST.800-53.R5 SC-28 (1), NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 R5 SI-7 (6), NIST.800-53.R5 AU-9

Gravité : Moyenne

Type de ressource : AWS::S3::Bucket

AWS Config règle : s3-default-encryption-kms

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un compartiment à usage général Amazon S3 est chiffré avec un AWS KMS key (SSE-KMS ou DSSE-KMS). Le contrôle échoue si le compartiment est chiffré avec le chiffrement par défaut (SSE-S3).

Le chiffrement côté serveur (SSE) est le chiffrement des données à destination par l'application ou le service qui les reçoit. Sauf indication contraire de votre part, les compartiments S3 utilisent les clés gérées par Amazon S3 (SSE-S3) par défaut pour le chiffrement côté serveur. Toutefois, pour un contrôle accru, vous pouvez choisir de configurer des buckets pour utiliser le chiffrement côté serveur (SSE-KMS ou DSSE-KMS AWS KMS keys ) à la place. Amazon S3 chiffre vos données au niveau de l'objet lorsqu'il les écrit sur les disques des centres de AWS données et les déchiffre pour vous lorsque vous y accédez.

Correction

Pour chiffrer un compartiment S3 à l'aide du SSE-KMS, consultez la section Spécification du chiffrement côté serveur avec AWS KMS (SSE-KMS) dans le guide de l'utilisateur Amazon S3. Pour chiffrer un compartiment S3 à l'aide du DSSE-KMS, consultez la section Spécification du chiffrement double couche côté serveur avec AWS KMS keys (DSSE-KMS) dans le guide de l'utilisateur Amazon S3.

[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3

Exigences connexes : NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Catégorie : Protéger > Gestion des accès sécurisés > Ressource non accessible au public

Gravité : Critique

Type de ressource : AWS::S3::AccessPoint

AWS Config règle : s3-access-point-public-access-blocks

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les paramètres de blocage de l'accès public sont activés sur un point d'accès Amazon S3. Le contrôle échoue si les paramètres de blocage de l'accès public ne sont pas activés pour le point d'accès.

La fonctionnalité Amazon S3 Block Public Access vous permet de gérer l'accès à vos ressources S3 à trois niveaux : le compte, le compartiment et le point d'accès. Les paramètres de chaque niveau peuvent être configurés indépendamment, ce qui vous permet de définir différents niveaux de restrictions d'accès public pour vos données. Les paramètres du point d'accès ne peuvent pas remplacer individuellement les paramètres les plus restrictifs des niveaux supérieurs (niveau du compte ou compartiment attribué au point d'accès). Au lieu de cela, les paramètres au niveau du point d'accès sont additifs, ce qui signifie qu'ils complètent et fonctionnent parallèlement aux paramètres des autres niveaux. À moins que vous ne souhaitiez qu'un point d'accès S3 soit accessible au public, vous devez activer les paramètres de blocage de l'accès public.

Correction

Actuellement, Amazon S3 ne prend pas en charge la modification des paramètres de blocage de l'accès public d'un point d'accès après que ce point d'accès a été créé. Tous les paramètres de blocage de l'accès public sont activés par défaut lorsque vous créez un nouveau point d'accès. Nous vous recommandons de garder tous les paramètres activés, sauf si vous savez que vous avez un besoin spécifique de désactiver l'un d'entre eux. Pour plus d'informations, consultez la section Gestion de l'accès public aux points d'accès dans le guide de l'utilisateur d'Amazon Simple Storage Service.

[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée

Exigences associées : CIS AWS Foundations Benchmark v3.0.0/2.1.2, CIS AWS Foundations Benchmark v1.4.0/2.1.3, NIST.800-53.R5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2), NIST.800-53.R5 CM-3, NIST.800-53.R5 SC-5 (2)

Catégorie : Protéger > Protection des données > Protection contre la suppression des données

Gravité : Faible

Type de ressource : AWS::S3::Bucket

AWS Config règle : s3-bucket-mfa-delete-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la suppression par authentification multifactorielle (MFA) est activée sur un bucket versionné à usage général Amazon S3. Le contrôle échoue si la suppression MFA n'est pas activée sur le bucket. Le contrôle ne produit aucun résultat pour les buckets dotés d'une configuration Lifecycle.

Lorsque vous utilisez le contrôle de version S3 dans des compartiments Amazon S3, vous pouvez éventuellement ajouter un niveau de sécurité supplémentaire en configurant un compartiment pour activer la suppression MFA. Quand vous procédez ainsi, le propriétaire du compartiment doit inclure deux formes d'authentification dans toute demande pour supprimer une version ou modifier l'état de la gestion des versions du compartiment. La suppression MFA renforce la sécurité si vos informations de sécurité sont compromises. La suppression MFA peut également aider à prévenir les suppressions accidentelles de compartiments en obligeant l'utilisateur à l'origine de l'action de suppression à prouver la possession physique d'un dispositif MFA avec un code MFA et en ajoutant un niveau de friction et de sécurité supplémentaire à l'action de suppression.

Note

La fonctionnalité de suppression MFA nécessite le versionnement des compartiments en tant que dépendance. Le versionnement des compartiments est une méthode qui permet de conserver plusieurs variantes d'un objet S3 dans le même compartiment. En outre, seul le propriétaire du compartiment connecté en tant qu'utilisateur root peut activer la suppression MFA et effectuer des actions de suppression sur les compartiments S3.

Correction

Pour activer le versionnage S3 et configurer la suppression MFA sur un bucket, consultez la section Configuration de la suppression MFA dans le guide de l'utilisateur d'Amazon Simple Storage Service.

[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets

Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/3.8

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::::Account

AWS Config règle : cloudtrail-all-write-s3-data-event-check

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie s'il existe Compte AWS au moins un journal AWS CloudTrail multirégional qui enregistre tous les événements d'écriture de données pour les compartiments Amazon S3. Le contrôle échoue si le compte ne dispose pas d'un journal multirégional enregistrant les événements de données d'écriture pour les compartiments S3.

Les opérations au niveau de l'objet S3, telles queGetObject, et DeleteObjectPutObject, sont appelées événements de données. Par défaut, CloudTrail n'enregistre pas les événements de données, mais vous pouvez configurer des sentiers pour enregistrer les événements de données pour les compartiments S3. Lorsque vous activez la journalisation au niveau de l'objet pour les événements d'écriture de données, vous pouvez enregistrer chaque accès individuel à un objet (fichier) dans un compartiment S3. L'activation de la journalisation au niveau de l'objet peut vous aider à respecter les exigences de conformité des données, à effectuer une analyse de sécurité complète, à surveiller les modèles spécifiques de comportement des utilisateurs dans votre environnement Compte AWS et à agir sur l'activité des API au niveau des objets dans vos compartiments S3 à l'aide d'Amazon Events. CloudWatch Ce contrôle produit un PASSED résultat si vous configurez un suivi multirégional qui enregistre en écriture seule ou tous les types d'événements de données pour tous les compartiments S3.

Correction

Pour activer la journalisation au niveau des objets pour les compartiments S3, consultez la section Activation de la journalisation des CloudTrail événements pour les compartiments et les objets S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets

Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/3.9

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::::Account

AWS Config règle : cloudtrail-all-read-s3-data-event-check

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie s'il existe Compte AWS au moins un journal AWS CloudTrail multirégional qui enregistre tous les événements de lecture de données pour les compartiments Amazon S3. Le contrôle échoue si le compte ne dispose pas d'un journal multirégional enregistrant les événements de lecture des données pour les compartiments S3.

Les opérations au niveau de l'objet S3, telles queGetObject, et DeleteObjectPutObject, sont appelées événements de données. Par défaut, CloudTrail n'enregistre pas les événements de données, mais vous pouvez configurer des sentiers pour enregistrer les événements de données pour les compartiments S3. Lorsque vous activez la journalisation au niveau de l'objet pour les événements de lecture de données, vous pouvez enregistrer chaque accès individuel à un objet (fichier) dans un compartiment S3. L'activation de la journalisation au niveau de l'objet peut vous aider à respecter les exigences de conformité des données, à effectuer une analyse de sécurité complète, à surveiller les modèles spécifiques de comportement des utilisateurs dans votre environnement Compte AWS et à agir sur l'activité des API au niveau des objets dans vos compartiments S3 à l'aide d'Amazon Events. CloudWatch Ce contrôle produit un PASSED résultat si vous configurez un suivi multirégional qui enregistre en lecture seule ou tous les types d'événements de données pour tous les compartiments S3.

Correction

Pour activer la journalisation au niveau des objets pour les compartiments S3, consultez la section Activation de la journalisation des CloudTrail événements pour les compartiments et les objets S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.