Praktik Terbaik Keamanan untuk Amazon S3 - Amazon Simple Storage Service
Praktik terbaik keamanan Amazon S3Praktik Terbaik Pemantauan dan Audit Amazon S3

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik Terbaik Keamanan untuk Amazon S3

Amazon S3 menyediakan sejumlah fitur keamanan untuk dipertimbangkan ketika Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai rekomendasi yang bermanfaat, bukan sebagai resep.

Praktik terbaik keamanan Amazon S3

Praktik terbaik berikut untuk Amazon S3 dapat membantu mencegah insiden keamanan.

Menonaktifkan daftar kontrol akses (ACL)

Kepemilikan Objek S3 adalah pengaturan tingkat bucket Amazon S3 yang dapat Anda gunakan untuk mengontrol kepemilikan objek yang diunggah ke bucket Anda dan untuk menonaktifkan atau mengaktifkan ACL. Secara default, Kepemilikan Objek disetel ke pengaturan diberlakukan pemilik Bucket dan semua ACL dinonaktifkan. Ketika ACL dinonaktifkan, pemilik bucket memiliki semua objek di bucket dan mengelola akses ke data secara eksklusif menggunakan kebijakan manajemen akses.

Mayoritas kasus penggunaan modern di Amazon S3 tidak lagi memerlukan penggunaan daftar kontrol akses (ACL). Sebaiknya Anda menonaktifkan ACL, kecuali dalam keadaan yang tidak biasa yang mengharuskan Anda mengontrol akses untuk setiap objek secara individual. Untuk menonaktifkan ACL dan mengambil kepemilikan setiap objek di bucket Anda, terapkan pengaturan yang diberlakukan pemilik bucket untuk Kepemilikan S3 Object. Saat menonaktifkan ACL, Anda dapat dengan mudah memelihara bucket dengan objek yang diunggah oleh berbagai objek Akun AWS.

Ketika ACL dinonaktifkan, kontrol akses untuk data Anda didasarkan pada kebijakan, seperti berikut ini:

  • AWS Identity and Access Management (IAM) kebijakan pengguna

  • Kebijakan bucket S3

  • Kebijakan titik akhir cloud privat virtual (VPC)

  • AWS Organizations kebijakan kontrol layanan (SCP)

Menonaktifkan ACL menyederhanakan manajemen izin dan audit. ACL dinonaktifkan untuk bucket baru secara default. Anda juga dapat menonaktifkan ACL untuk bucket yang ada. Jika Anda memiliki bucket yang sudah memiliki objek di dalamnya, setelah Anda menonaktifkan ACL, ACL objek dan bucket tidak lagi menjadi bagian dari proses evaluasi akses. Sebaliknya, akses diberikan atau ditolak berdasarkan kebijakan.

Sebelum menonaktifkan ACLs, pastikan Anda melakukan hal berikut ini:

  • Tinjau kebijakan bucket Anda untuk memastikan bahwa kebijakan tersebut mencakup semua cara yang ingin Anda berikan akses ke bucket di luar akun Anda.

  • Setel ulang ACL bucket Anda ke default (kontrol penuh ke pemilik bucket).

Setelah Anda menonaktifkan ACL, perilaku berikut terjadi:

  • Bucket Anda hanya menerima permintaan PUT yang tidak menentukan ACL atau permintaan PUT dengan ACL kontrol penuh pemilik bucket. ACL ini termasuk ACL terekam bucket-owner-full-control atau bentuk setara dari ACL ini yang diekspresikan dalam XML.

  • Aplikasi yang ada yang mendukung ACL kontrol penuh pemilik bucket tidak akan berdampak.

  • PUTpermintaan yang berisi ACL lain (misalnya, hibah khusus untuk tertentu Akun AWS) gagal dan mengembalikan kode status HTTP 400 (Bad Request) dengan kode kesalahan. AccessControlListNotSupported

Untuk informasi selengkapnya, lihat Mengontrol kepemilikan objek dan menonaktifkan ACL untuk bucket Anda.

Pastikan bucket Amazon S3 Anda menggunakan kebijakan yang benar dan tidak dapat diakses publik

Kecuali jika Anda secara tegas meminta siapa pun di internet untuk dapat membaca atau menulis ke bucket S3 Anda, pastikan bucket S3 Anda tidak tersedia untuk umum. Berikut ini adalah beberapa langkah yang dapat Anda lakukan untuk memblokir akses publik:

  • Gunakan Blokir Akses Publik S3. Dengan Blokir Akses Publik S3, Anda dapat dengan mudah menyiapkan kontrol terpusat untuk membatasi akses publik ke sumber daya Amazon S3 Anda. Kontrol terpusat ini ditegakkan terlepas dari bagaimana sumber daya dibuat. Untuk informasi selengkapnya, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda.

  • Identifikasi kebijakan bucket Amazon S3 yang mengizinkan identitas wildcard seperti "Principal": "*" (yang secara efektif berarti “siapa pun”). Cari juga kebijakan yang memungkinkan tindakan wildcard "*" (yang secara efektif memungkinkan pengguna melakukan tindakan apa pun di bucket Amazon S3).

  • Demikian pula, cari daftar kontrol akses bucket Amazon S3 (ACL) yang menyediakan akses baca, tulis, atau penuh ke “Semua Orang” atau “Setiap pengguna yang diautentikasi.” AWS

  • Menggunakan operasi API ListBuckets untuk memindai semua bucket Amazon S3. Kemudian, gunakan GetBucketAcl, GetBucketWebsite, dan GetBucketPolicy untuk menentukan apakah setiap bucket memiliki kontrol akses yang sesuai dan konfigurasi yang sesuai.

  • Gunakan AWS Trusted Advisor untuk memeriksa implementasi Amazon S3.

  • Pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung dengan menggunakan s3-bucket-public-read-prohibited dan s3-bucket-public-write-prohibited Aturan AWS Config yang dikelola.

Untuk informasi selengkapnya, lihat Identity and Access Management untuk Amazon S3.

Identifikasi potensi ancaman terhadap bucket Amazon S3 Anda dengan menggunakan Amazon GuardDuty

Amazon GuardDuty adalah layanan deteksi ancaman yang mengidentifikasi potensi ancaman terhadap akun, wadah, beban kerja, dan data di lingkungan Anda AWS . Dengan menggunakan model machine learning (ML), serta kemampuan deteksi anomali dan ancaman, Amazon GuardDuty terus memantau berbagai sumber data untuk mengidentifikasi dan memprioritaskan potensi risiko keamanan dan aktivitas berbahaya di lingkungan Anda. Saat Anda mengaktifkan GuardDuty, ia menawarkan deteksi ancaman untuk sumber data dasar yang mencakup peristiwa AWS CloudTrail manajemen, log aliran VPC, dan log DNS. Untuk memperluas deteksi ancaman ke peristiwa pesawat data di bucket S3, Anda dapat mengaktifkan fitur Perlindungan GuardDuty S3. Fitur ini mendeteksi ancaman seperti eksfiltrasi data dan akses mencurigakan ke bucket S3 melalui node Tor. GuardDutyjuga menetapkan pola dasar normal di lingkungan Anda dan ketika mengidentifikasi perilaku yang berpotensi anomali, ia memberikan informasi kontekstual untuk membantu Anda memulihkan ember atau kredensyal S3 yang berpotensi dikompromikan. AWS Untuk informasi lebih lanjut, lihat GuardDuty.

Terapkan akses hak akses paling rendah

Saat memberikan izin, Anda memutuskan siapa yang mendapatkan izin yang menjadi sumber daya Amazon S3. Anda mengaktifkan tindakan tertentu yang ingin Anda izinkan pada sumber daya tersebut. Oleh karena itu, kami menyarankan Anda hanya memberikan izin yang diperlukan untuk melaksanakan tugas. Menerapkan akses hak akses paling rendah adalah hal mendasar dalam mengurangi risiko keamanan dan dampak yang dapat diakibatkan oleh kesalahan atau niat jahat.

Alat bantu berikut tersedia untuk menerapkan akses hak akses paling rendah:

Untuk panduan tentang apa yang harus dipertimbangkan ketika memilih satu atau beberapa mekanisme sebelumnya, lihat Identity and Access Management untuk Amazon S3.

Gunakan peran IAM untuk aplikasi dan Layanan AWS yang memerlukan akses Amazon S3

Agar aplikasi yang berjalan di Amazon EC2 atau lainnya Layanan AWS dapat mengakses sumber daya Amazon S3, mereka harus menyertakan kredensyal yang AWS valid dalam permintaan API mereka. AWS Sebaiknya jangan menyimpan AWS kredensialnya secara langsung di aplikasi atau instans Amazon EC2. Ini adalah kredensial jangka panjang yang tidak dirotasi secara otomatis dan dapat menimbulkan dampak bisnis yang signifikan jika dibobol.

Sebaliknya, gunakan peran IAM untuk mengelola kredensial sementara untuk aplikasi atau layanan yang perlu mengakses Amazon S3. Saat Anda menggunakan peran, Anda tidak perlu mendistribusikan kredensyal jangka panjang (seperti nama pengguna dan kata sandi atau kunci akses) ke instans Amazon EC2 Layanan AWS atau, seperti. AWS Lambda Peran ini menyediakan izin sementara yang dapat digunakan aplikasi saat mereka melakukan panggilan ke AWS sumber daya lain.

Untuk informasi selengkapnya, lihat topik berikut di Panduan Pengguna IAM:

Pertimbangkan untuk mengenkripsi data diam

Anda memiliki opsi berikut untuk melindungi data diam di Amazon S3:

  • Enkripsi sisi server — Semua bucket Amazon S3 memiliki enkripsi yang dikonfigurasi secara default, dan semua objek baru yang diunggah ke bucket S3 secara otomatis dienkripsi saat istirahat. Enkripsi di sisi server dengan kunci terkelola Amazon S3 (SSE-S3) adalah konfigurasi enkripsi default untuk setiap bucket di Amazon S3. Untuk menggunakan jenis enkripsi yang berbeda, Anda dapat menentukan jenis enkripsi di sisi server yang akan digunakan dalam permintaan PUT S3, atau Anda dapat mengatur konfigurasi enkripsi default di bucket tujuan.

    Amazon S3 juga menyediakan opsi enkripsi sisi server ini:

    • Enkripsi sisi server dengan kunci AWS Key Management Service (AWS KMS) (SSE-KMS)

    • Enkripsi sisi server dua lapis dengan kunci () (DSSE-KMS AWS Key Management Service )AWS KMS

    • Enkripsi di sisi server dengan kunci yang disediakan pelanggan (SSE-C)

    Untuk informasi selengkapnya, lihat Melindungi data dengan enkripsi di sisi klien.

  • Enkripsi di sisi klien–Enkripsikan data sisi klien dan unggah data yang dienkripsi ke Amazon S3. Dalam hal ini, Anda mengelola proses enkripsi, kunci enkripsi, dan alat terkait. Seperti enkripsi di sisi server, enkripsi di sisi klien dapat membantu mengurangi risiko dengan mengenkripsi data dengan kunci yang disimpan dalam mekanisme yang berbeda dari mekanisme yang menyimpan data itu sendiri.

    Amazon S3 menyediakan beberapa opsi enkripsi di sisi klien. Untuk informasi selengkapnya, lihat Melindungi data menggunakan enkripsi di sisi klien.

Menerapkan enkripsi data bergerak

Anda dapat menggunakan HTTPS (TLS) untuk membantu mencegah penyerang potensial menguping atau memanipulasi lalu lintas jaringan dengan menggunakan atau serangan serupa. person-in-the-middle Sebaiknya izinkan koneksi terenkripsi melalui HTTPS (TLS) dengan menggunakan kondisi aws:SecureTransport dalam kebijakan bucket Amazon S3 Anda.

penting

Kami menyarankan agar aplikasi Anda tidak menyematkan sertifikat Amazon S3 TLS karena AWS tidak mendukung penyematan sertifikat tepercaya publik. S3 secara otomatis memperbarui sertifikat dan perpanjangan dapat terjadi kapan saja sebelum sertifikat kedaluwarsa. Memperbarui sertifikat menghasilkan key pair public-private baru. Jika Anda telah menyematkan sertifikat S3 yang baru saja diperbarui dengan kunci publik baru, Anda tidak akan dapat terhubung ke S3 hingga aplikasi Anda menggunakan sertifikat baru.

Lalu, pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung dengan menggunakan aturan s3-bucket-ssl-requests-only AWS Config terkelola.

Pertimbangkan untuk menggunakan Kunci Objek S3

Dengan Kunci Objek S3, Anda dapat menyimpan objek dengan menggunakan model “Tulis Sekali Baca Banyak” (WORM). Kunci Objek S3 dapat membantu mencegah penghapusan data yang tidak disengaja atau tidak tepat. Misalnya, Anda dapat menggunakan S3 Object Lock untuk membantu melindungi AWS CloudTrail log Anda.

Untuk informasi selengkapnya, lihat Menggunakan Kunci Objek S3.

Aktifkan Penentuan Versi S3

Penentuan Versi S3 adalah cara menyimpan beberapa varian objek dalam bucket yang sama. Anda dapat menggunakan Penentuan Versi untuk menyimpan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan dalam bucket Anda. Dengan Penentuan Versi, Anda dapat dengan mudah memulihkan dari tindakan pengguna yang tidak diinginkan, serta kegagalan aplikasi.

Lalu, pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung dengan menggunakan aturan s3-bucket-versioning-enabled AWS Config terkelola.

Untuk informasi selengkapnya, lihat Menggunakan Penentuan Versi dalam bucket S3.

Pertimbangkan untuk menggunakan Replikasi Lintas Wilayah S3

Meskipun Amazon S3 menyimpan data Anda di berbagai Zona Ketersediaan yang berbeda secara geografis secara default, persyaratan kepatuhan mungkin mengatur bahwa Anda menyimpan data dengan jarak lebih jauh. Dengan S3 Cross-Region Replication (CRR), Anda dapat mereplikasi data antara jarak jauh Wilayah AWS untuk membantu memenuhi persyaratan ini. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh ember dalam berbagai jenis. Wilayah AWS Untuk informasi selengkapnya, lihat Mereplikasi ikhtisar objek.

catatan

CRR mewajibkan bucket S3 sumber dan tujuan agar Penentuan Versi diaktifkan.

Lalu, pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung dengan menggunakan aturan s3-bucket-replication-enabled AWS Config terkelola.

Pertimbangkan untuk menggunakan titik akhir VPC untuk akses Amazon S3

Titik akhir cloud privat virtual (VPC) untuk Amazon S3 adalah entitas logis dalam sebuah VPC yang mengizinkan konektivitas hanya ke Amazon S3. Titik akhir VPC dapat membantu mencegah lalu lintas melintasi internet terbuka.

Titik akhir VPC untuk Amazon S3 menyediakan banyak cara untuk mengontrol akses ke data Amazon S3 Anda:

  • Anda dapat mengontrol permintaan, pengguna, atau grup yang diizinkan melalui titik akhir VPC tertentu dengan menggunakan kebijakan bucket S3.

  • Anda dapat mengendalikan VPC atau titik akhir VPC mana yang memiliki akses ke bucket S3 Anda dengan menggunakan kebijakan bucket S3.

  • Anda dapat membantu mencegah eksfiltrasi data dengan menggunakan VPC yang tidak memiliki gateway internet.

Untuk informasi selengkapnya, lihat Megendalikan akses dari titik akhir VPC dengan kebijakan bucket.

Menggunakan layanan AWS keamanan terkelola untuk memantau keamanan data

Beberapa layanan AWS keamanan terkelola dapat membantu Anda mengidentifikasi, menilai, dan memantau risiko keamanan dan kepatuhan untuk data Amazon S3 Anda. Layanan ini juga dapat membantu Anda melindungi data Anda dari risiko tersebut. Layanan ini mencakup kemampuan deteksi, pemantauan, dan perlindungan otomatis yang dirancang untuk menskalakan dari sumber daya Amazon S3 untuk sumber daya tunggal Akun AWS untuk organisasi yang mencakup ribuan akun.

Untuk informasi selengkapnya, lihat Memantau keamanan data dengan layanan AWS keamanan terkelola.

Praktik Terbaik Pemantauan dan Audit Amazon S3

Praktik terbaik berikut untuk Amazon S3 dapat membantu mendeteksi potensi kelemahan dan insiden keamanan.

Identifikasi dan audit semua bucket Amazon S3 Anda

Identifikasi aset IT Anda adalah aspek penting dari tata kelola dan keamanan. Anda perlu memiliki visibilitas semua sumber daya Amazon S3 Anda untuk menilai postur keamanan dan mengambil tindakan di area kelemahan potensial. Untuk mengaudit sumber daya Anda, kami sarankan melakukan hal berikut ini:

  • Gunakan Editor Tag untuk mengidentifikasi dan menandai sumber daya yang sensitif terhadap keamanan atau audit, kemudian gunakan tag tersebut saat Anda perlu mencari sumber daya ini. Untuk informasi selengkapnya, lihat Mencari Sumber Daya untuk Ditandai di Panduan Pengguna AWS Sumber Daya Penandaan.

  • Gunakan Inventaris S3 untuk mengaudit dan melaporkan replikasi dan status enkripsi objek Anda untuk kebutuhan bisnis, kepatuhan, dan regulasi. Untuk informasi selengkapnya, lihat Inventaris Amazon S3.

  • Buat grup sumber daya untuk sumber daya Amazon S3 Anda. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan grup sumber daya? dalam AWS Resource Groups Panduan Pengguna.

Melaksanakan pemantauan dengan menggunakan alat AWS pemantauan

Pemantauan adalah bagian penting dalam menjaga keandalan, keamanan, ketersediaan, dan kinerja Amazon S3 dan solusi Anda AWS . AWS menyediakan beberapa alat dan layanan untuk membantu Anda memantau Amazon S3 dan yang lain. Layanan AWS Misalnya, Anda dapat memantau CloudWatch metrik Amazon untuk Amazon S3, khususnya,, PutRequests dan GetRequests metrik. 4xxErrors DeleteRequests Untuk informasi selengkapnya, lihat Memantau metrik dengan Amazon CloudWatch dan Pemantauan Amazon S3.

Untuk contoh kedua, lihat Contoh: Aktivitas Bucket Amazon S3. Contoh ini menjelaskan cara membuat CloudWatch alarm yang dipicu saat panggilan API Amazon S3 dibuat PUT atau DELETE kebijakan bucket, siklus hidup bucket, atau konfigurasi replikasi bucket, atau ke ACL bucket. PUT

Aktifkan log akses server Amazon S3

Pencatatan akses server memberikan catatan detail permintaan yang dibuat ke bucket. Log akses server dapat membantu Anda dalam keamanan dan audit akses, membantu Anda mempelajari basis pelanggan Anda, dan memahami tagihan Amazon S3. Untuk petunjuk tentang mengaktifkan log akses server, lihat Pencatatan permintaan dengan pencatatan akses server.

Juga pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung dengan menggunakan aturan s3-bucket-logging-enabled AWS Config terkelola.

Gunakan AWS CloudTrail

AWS CloudTrail menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau Layanan AWS di Amazon S3. Anda dapat menggunakan informasi yang dikumpulkan oleh CloudTrail untuk menentukan hal-hal berikut:

  • Permintaan yang diajukan ke Amazon S3

  • Alamat IP dari mana permintaan itu dibuat

  • Siapa yang membuat permintaan

  • Kapan permintaan dibuat

  • Detail tambahan tentang permintaan

Misalnya, Anda dapat mengidentifikasi CloudTrail entri untuk PUT tindakan yang memengaruhi akses data, khususnyaPutBucketAcl, PutObjectAclPutBucketPolicy, danPutBucketWebsite.

Saat Anda mengatur Akun AWS, CloudTrail diaktifkan secara default. Anda dapat melihat peristiwa terbaru di CloudTrail konsol. Untuk membuat catatan aktivitas dan peristiwa yang sedang berlangsung untuk bucket Amazon S3, Anda dapat membuat jejak di konsol. CloudTrail Untuk informasi selengkapnya, lihat Mencatat peristiwa data dalam AWS CloudTrail Panduan Pengguna.

Saat membuat jejak, Anda dapat mengonfigurasi CloudTrail untuk mencatat peristiwa data. Peristiwa data adalah catatan operasi sumber daya yang dilakukan pada atau di dalam sumber daya. Di Amazon S3, peristiwa data merekam aktivitas API tingkat objek untuk masing-masing bucket. CloudTrail mendukung subset operasi API tingkat objek Amazon S3, sepertiGetObject,, dan. DeleteObject PutObject Untuk informasi selengkapnya tentang cara CloudTrail bekerja dengan Amazon S3, lihat. Mencatat panggilan API Amazon S3 menggunakan AWS CloudTrail Di konsol Amazon S3, Anda juga dapat mengonfigurasi bucket S3 Anda ke Mengaktifkan pencatatan CloudTrail peristiwa untuk bucket dan objek S3.

AWS Config menyediakan aturan terkelola (cloudtrail-s3-dataevents-enabled) yang dapat Anda gunakan untuk mengonfirmasi bahwa setidaknya satu CloudTrail jejak mencatat peristiwa data untuk bucket S3 Anda. Untuk informasi lebih lanjut, lihat cloudtrail-s3-dataevents-enabled dalam Panduan Pengembang AWS Config .

Aktifkan AWS Config

Beberapa praktik terbaik yang tercantum dalam topik ini menyarankan untuk membuat AWS Config aturan. AWS Config membantu Anda menilai, mengaudit, dan mengevaluasi konfigurasi AWS sumber daya Anda. AWS Config memantau konfigurasi sumber daya sehingga Anda dapat mengevaluasi konfigurasi yang direkam terhadap konfigurasi aman yang diinginkan. Dengan AWS Config, Anda dapat melakukan hal berikut:

  • Tinjau perubahan konfigurasi dan hubungan antar sumber daya AWS

  • Selidiki riwayat konfigurasi sumber daya terperinci

  • Tentukan kepatuhan Anda secara keseluruhan terhadap konfigurasi yang ditentukan dalam pedoman internal Anda

Menggunakan AWS Config dapat membantu Anda menyederhanakan audit kepatuhan, analisis keamanan, manajemen perubahan, dan pemecahan masalah operasional. Untuk informasi selengkapnya, lihat Menyiapkan AWS Config dengan Konsol di Panduan AWS Config Pengembang. Saat menentukan jenis sumber daya yang akan dicatat, pastikan Anda menyertakan sumber daya Amazon S3.

penting

AWS Config aturan terkelola hanya mendukung bucket tujuan umum saat mengevaluasi sumber daya Amazon S3. AWS Config tidak merekam perubahan konfigurasi untuk bucket direktori. Untuk informasi selengkapnya, lihat Aturan AWS Config Terkelola dan Daftar Aturan AWS Config Terkelola di Panduan AWS Config Pengembang.

Untuk contoh cara menggunakan AWS Config, lihat Cara Menggunakan AWS Config untuk Memantau dan Menanggapi Bucket Amazon S3 yang Mengizinkan Akses Publik di Blog Keamanan.AWS

Temukan data sensitif dengan menggunakan Amazon Macie

Amazon Macie adalah layanan keamanan yang menemukan data sensitif dengan menggunakan machine learning dan pencocokan pola. Macie memberikan visibilitas ke dalam risiko keamanan data, dan memungkinkan perlindungan otomatis terhadap risiko tersebut. Dengan Macie, Anda dapat mengotomatisasi penemuan dan pelaporan data sensitif di properti data Amazon S3 untuk mendapatkan pemahaman yang lebih baik tentang data yang disimpan organisasi Anda di S3.

Untuk mendeteksi data sensitif dengan Macie, Anda dapat menggunakan kriteria dan teknik bawaan yang dirancang untuk mendeteksi daftar jenis data sensitif yang besar dan berkembang untuk banyak negara dan wilayah. Jenis data sensitif ini mencakup beberapa jenis informasi pengenal pribadi (PII), data keuangan, dan data kredensial. Anda juga dapat menggunakan kriteria kustom yang Anda tetapkan, ekspresi reguler yang menentukan pola teks yang cocok dan, opsional, urutan karakter dan aturan kedekatan yang menyempurnakan hasil.

Jika Macie mendeteksi data sensitif dalam S3 Object, Macie akan membuat temuan keamanan untuk memberi tahu Anda. Temuan ini memberikan informasi tentang objek yang terpengaruh, jenis dan jumlah kemunculan data sensitif yang ditemukan Macie, dan detail tambahan untuk membantu Anda menyelidiki bucket dan S3 Object yang terpengaruh. Untuk informasi selengkapnya, lihat Panduan Pengguna Amazon Macie.

Menggunakan Lensa Penyimpanan S3

Lensa Penyimpanan S3 adalah fitur analisis penyimpanan cloud yang dapat Anda gunakan untuk mendapatkan visibilitas seluruh organisasi ke dalam penggunaan dan aktivitas penyimpanan objek. Lensa Penyimpanan S3 juga menganalisis metrik untuk memberikan rekomendasi kontekstual yang dapat Anda gunakan untuk mengoptimalkan biaya penyimpanan dan menerapkan praktik terbaik untuk melindungi data Anda.

Dengan Lensa Penyimpanan S3, Anda dapat menggunakan metrik untuk menghasilkan wawasan ringkasan, seperti mencari tahu berapa banyak penyimpanan yang Anda miliki di seluruh organisasi atau bucket dan prefiks mana yang paling cepat berkembang. Anda juga dapat menggunakan metrik Lensa Penyimpanan S3 untuk mengidentifikasi peluang optimasi biaya, menerapkan praktik terbaik untuk perlindungan data dan keamanan, serta meningkatkan kinerja beban kerja aplikasi.

Misalnya, Anda dapat mengidentifikasi bucket yang tidak memiliki aturan Siklus Hidup S3 untuk membatalkan unggahan multibagian yang tidak lengkap yang berusia lebih dari 7 hari. Anda juga dapat mengidentifikasi bucket yang tidak mengikuti praktik terbaik perlindungan data, seperti menggunakan Replikasi S3 atau Penentuan Versi S3. Untuk informasi selengkapnya, lihat Memahami Lensa Penyimpanan Amazon S3.

Memantau laporan keamanan AWS

Kami menyarankan Anda secara teratur memeriksa nasihat keamanan yang diposting dalam Trusted Advisor untuk Akun AWS Anda. Secara khusus, cari peringatan tentang bucket Amazon S3 dengan “buka izin akses.” Anda dapat melakukan ini secara terprogram dengan menggunakan describe-trusted-advisor-checks.

Selanjutnya, secara aktif memantau alamat email utama yang terdaftar untuk masing-masing Anda Akun AWS. AWS menggunakan alamat email ini untuk menghubungi Anda tentang masalah keamanan yang muncul yang mungkin memengaruhi Anda.

AWS masalah operasional dengan dampak luas diposting di AWS Health Dashboard - Layanan kesehatan. Masalah operasional juga diposting ke akun individu melalui AWS Health Dashboard. Untuk informasi lebih lanjut, lihat dokumentasi AWS Health.