AWS Certified Solutions Architect Professional – Security – S3 Security

Tram Ho

Giới thiệu

Ghi chú nhanh về AWS S3 Security. Bài đăng này là một ghi chú ngắn từ khóa học Ultimate AWS Certified Solutions Architect Professional của Stephane Maarek. Mục đích duy nhất của bài viết này là tóm tắt, nếu bạn muốn tìm hiểu chi tiết, vui lòng mua một khóa học của Stephane Maarek.

image.png

Bảo vệ dữ liệu

Bảo vệ dữ liệu đề cập đến việc bảo vệ dữ liệu khi đang chuyển tiếp (khi nó di chuyển đến và đi từ Amazon S3) và ở trạng thái nghỉ (trong khi nó được lưu trữ trên các đĩa trong trung tâm dữ liệu Amazon S3).

Bảo vệ dữ liệu khi chuyển tiếp

Bạn có thể bảo vệ dữ liệu trong quá trình truyền bằng cách sử dụng Lớp cổng bảo mật / Bảo mật lớp truyền tải (SSL / TLS).

AWS S3 tiết lộ:

  • Điểm cuối HTTP: không được mã hóa.
  • Điểm cuối HTTPS: mã hóa trong chuyến bay.

Bạn có thể tự do sử dụng điểm cuối mà mình muốn, nhưng HTTPS được khuyến nghị.

Bảo vệ dữ liệu ở trạng thái nghỉ

Có 2 cách để bảo vệ dữ liệu trong Amazon S3.

Mã hóa phía máy chủ

Yêu cầu Amazon S3 mã hóa đối tượng của bạn trước khi lưu nó trên các đĩa trong trung tâm dữ liệu của nó và sau đó giải mã khi bạn tải xuống. Có 3 phương pháp mã hóa phía máy chủ:

  • SSE-S3: mã hóa các đối tượng S3 bằng cách sử dụng các khóa do AWS xử lý và quản lý.
  • SSE-KMS: tận dụng Dịch vụ quản lý khóa AWS để quản lý các khóa mã hóa.
  • SSE-C: khi bạn muốn quản lý các khóa mã hóa của riêng mình.

Mã hóa phía máy khách

Mã hóa dữ liệu phía máy khách và tải dữ liệu đã mã hóa lên Amazon S3. Trong trường hợp này, bạn quản lý quá trình mã hóa, khóa mã hóa và các công cụ liên quan.

Nhật ký truy cập S3

Bạn có thể bật ghi nhật ký truy cập máy chủ cho S3, nó cung cấp các bản ghi chi tiết cho các yêu cầu được thực hiện cho một nhóm.

Thông tin nhật ký truy cập có thể hữu ích trong việc kiểm tra bảo mật và truy cập. Nó cũng có thể giúp bạn tìm hiểu về cơ sở khách hàng và hiểu hóa đơn Amazon S3 của bạn.

Điều cần biết:

  • Có thể mất hàng giờ để giao các bản ghi.
  • Nhật ký có thể không đầy đủ (cố gắng hết sức).

Bảo mật S3

Theo mặc định, tất cả tài nguyên Amazon S3 là riêng tư. Amazon S3 cung cấp các tùy chọn chính sách truy cập được phân loại rộng rãi là chính sách dựa trên tài nguyên và chính sách người dùng.

Với chính sách người dùng , bạn có thể đính kèm chính sách truy cập cho người dùng trong tài khoản của mình bằng chính sách IAM.

Với các chính sách dựa trên tài nguyên (Chính sách nhóm S3) , bạn đính kèm các chính sách truy cập vào tài nguyên của mình (nhóm và đối tượng).

Bạn cũng có thể sử dụng danh sách kiểm soát truy cập (ACL) để cấp quyền đọc và ghi cơ bản cho các tài khoản AWS khác.

Chính sách nhóm S3

Sử dụng nhóm S3 cho chính sách để:

  • Cấp quyền truy cập công khai vào nhóm.
  • Buộc các đối tượng phải được mã hóa khi tải lên.
  • Cấp quyền truy cập vào tài khoản khác (Tài khoản chéo).

Các điều kiện tùy chọn về:

  • IP công cộng hoặc IP đàn hồi (không phải trên IP riêng).
  • Nguồn VPC hoặc Điểm cuối VPC nguồn – chỉ hoạt động với Điểm cuối VPC.
  • CloudFront Origin Identity.
  • MFA.

Các URL được ký trước của S3

Có thể tạo URL được ký trước bằng SDK hoặc CLI:

  • Để tải xuống (dễ dàng, có thể sử dụng CLI).
  • Đối với tải lên (khó hơn, phải sử dụng SDK).

Có giá trị cho mặc định là 3600 giây, có thể thay đổi thời gian chờ bằng đối --expires-in [TIME_BY_SECONDS] .

Người dùng được cấp một URL được ký trước sẽ thừa hưởng các quyền của người đã tạo URL cho GET / PUT.

Trường hợp sử dụng:

  • Chỉ cho phép người dùng đã đăng nhập tải xuống video cao cấp trên bộ chứa S3 của bạn.
  • Cho phép danh sách người dùng luôn thay đổi tải xuống tệp bằng cách tạo URL động.
  • Cho phép tạm thời người dùng tải tệp lên một vị trí chính xác trong nhóm của chúng tôi.

Chấm dứt

Kết thúc ghi chú ngắn về AWS S3 Security.

Chia sẻ bài viết ngay

Nguồn bài viết : Viblo