Segurança da infraestrutura no Amazon S3
Como um serviço gerenciado, o Amazon S3 é protegido pelo procedimento de segurança de redes global da AWS que são descritos no pilar de segurança do AWS Well-Architected Framework.
O acesso ao Amazon S3 pela rede acontece por meio de APIs publicadas pela AWS. Os clientes devem ser compatíveis com o Transport Layer Security (TLS) 1.2. Recomendamos também o suporte ao TLS 1.3. (Para obter mais informações sobre essa recomendação, consulte Conexões de nuvem AWS mais rápidas com TLS 1.3
nota
O TLS 1.3 é compatível com todos os endpoints do S3, exceto no AWS PrivateLink para Amazon S3 e nos pontos de acesso multirregionais.
Os clientes também devem ter suporte a pacotes de criptografia com sigilo de encaminhamento perfeito (PFS) como Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Diffie-Hellman Encaminhamento (ECDHE). Além disso, as solicitações devem ser assinadas usando AWS Signature V4 ou AWS Signature V2, necessitando de credenciais válidas para o fornecimento.
Essas APIs podem ser chamadas de qualquer local da rede. No entanto, o Amazon S3 não oferece suporte a políticas de acesso com base em recursos, que podem incluir restrições com base no endereço IP de origem. Você também pode usar políticas de bucket do Amazon S3 para controlar o acesso a buckets a partir de endpoints específicos da virtual private cloud (VPC) ou de VPCs específicas. Efetivamente, isso isola o acesso à rede para um determinado bucket do Amazon S3 somente da VPC específica dentro da rede da AWS. Para obter mais informações, consulte Controlar o acesso a partir de VPC endpoints com políticas de bucket.
As melhores práticas de segurança a seguir também abordam a segurança de infraestrutura no Amazon S3:
