Herausragende Sicherheits-, Compliance- und Prüffunktionen
Speichern Sie Ihre Daten in Amazon S3 und schützen Sie sie mit Verschlüsselungsfunktionen und Tools für die Zugriffsverwaltung vor unbefugtem Zugriff. S3 verschlüsselt alle Objekt-Uploads in alle Buckets. S3 bietet mit S3 Block Public Accessals einziger Objektspeicherservice die Möglichkeit, den öffentlichen Zugriff auf all Ihre Objekte auf Bucket- oder Kontoebene zu blockieren. S3 unterstützt Compliance-Programme wie PCI-DSS, HIPAA/HITECH, FedRAMP, die EU-Datenschutzrichtlinie und FISMA, damit Sie Ihre gesetzlichen Vorgaben einhalten können. AWS unterstützt darüber hinaus zahlreiche Prüffunktionen, um Zugriffsanforderungen für Ihre S3-Ressourcen zu überwachen.
Amazon S3-Sicherheits- und Zugriffsverwaltung
Zum Schutz Ihrer Daten in Amazon S3 haben Benutzer standardmäßig nur Zugriff auf die von ihnen erstellten S3-Ressourcen. Mit einer der folgenden Funktionen zur Zugriffsverwaltung oder einer Kombination aus diesen Funktionen können Sie anderen Benutzern Zugriff gewähren: AWS Identity and Access Management (IAM) zur Erstellung von Benutzern und Verwaltung ihrer entsprechenden Zugriffsberechtigungen; Zugriffskontrolllisten (ACLs, Access Control Lists), um autorisierten Benutzern den Zugriff auf einzelne Objekte zu ermöglichen; Bucket-Richtlinien zur Konfiguration von Berechtigungen für alle Objekte innerhalb eines S3-Buckets und Abfrage-String-Authentifizierung zur Gewährung von zeitlich begrenztem Zugriff mit temporären URLs. Amazon S3 unterstützt ebenfalls Prüfprotokolle, die an Ihre S3-Ressourcen gestellte Anforderungen auflisten und so umfassende Transparenz darüber bieten, wer auf welche Daten zugreift.
Sperrung des öffentlichen S3-Zugangs
Durch wenige Klicks in der S3-Managementkonsole können Sie Sperrung des öffentlichen Zugangs auf jeden Bucket in Ihrem Konto (sowohl aktuelle wie auch in Zukunft erstellte Buckets) anwenden und sicherstellen, dass kein öffentlicher Zugriff auf Objekte möglich ist. Für alle neuen Buckets ist Sperrung des öffentlichen Zugangs standardmäßig aktiviert. Um den Zugriff auf alle vorhandenen Buckets in Ihrem Konto einzuschränken, können Sie die Option Öffentlichen Zugriff blockieren auf Kontoebene aktivieren. Die Einstellungen der Sperrung des öffentlichen Zugangs von S3 setzen die S3-Berechtigungen, die den öffentlichen Zugriff gewähren, außer Kraft. Damit ist es für den Konto-Administrator leicht, eine zentrale Steuerung einzurichten, um abweichende Sicherheitskonfigurationen zu verhindern, unabhängig davon, wie ein Objekt hinzugefügt oder ein Bucket erstellt wird.
S3 Object Lock
Amazon S3 Object Lock blockiert die Objektversionlöschung während eines kundendefinierten Aufbewahrungszeitraums. So können Sie Aufbewahrungsrichtlinien als zusätzliche Datenschutzmaßnahme oder zur Einhaltung gesetzlicher Bestimmungen durchsetzen. Sie können Workloads aus bestehenden write-once-read-many (WORM)-Systemen in Amazon S3 migrieren und die S3-Objektsperre auf Objekt- und Bucket-Ebenen konfigurieren, sodass Objektversionslöschungen vor den festgelegten Aufbewahrungsdaten oder vor Ablauf einer gesetzlichen Aufbewahrungspflicht verhindert werden.
S3-Objektbesitz
Amazon S3 Object Ownership deaktiviert Zugriffskontrolllisten (ACLs) und ändert so die Besitzer für alle Objekte in den Bucket-Besitzer und vereinfacht damit die Zugriffsverwaltung für in S3 gespeicherte Daten. Wenn Sie die Einstellung Bucket owner enforced von S3 Object Ownership konfigurieren, haben ACLs keine Auswirkung mehr auf die Berechtigungen für Ihren Bucket und die Objekte darin. Die gesamte Zugriffssteuerung wird mit ressourcenbasierten Richtlinien, Benutzerrichtlinien oder einer Kombination davon definiert. ACLs werden für neue Buckets automatisch deaktiviert. Sie können S3 Inventory verwenden, um die ACLs in Ihren Buckets zu überprüfen, bevor Sie S3 Object Ownership aktivieren, wenn Sie zu IAM-basierten Bucket-Richtlinien migrieren. Weiter Informationen finden Sie unter Steuerung von Object Ownership.
Identity and Access Management
Standardmäßig sind alle Amazon S3-Ressourcen (Buckets, Objekte und zugehörige Unterressourcen) privat: nur der Ressourcenbesitzer, ein AWS-Konto, das er erstellt hat, kann auf die Ressource zugreifen. Amazon S3 bietet Optionen für Zugangsrichtlinien, die grob in ressourcenbasierte Richtlinien und Benutzerrichtlinien eingeteilt werden. Sie können ressourcenbasierte Richtlinien, Benutzerrichtlinien oder eine Kombination dieser Richtlinien verwenden, um die Berechtigungen für Ihre Amazon S3-Ressourcen zu verwalten. Standardmäßig ist ein S3-Objekt im Besitz von dem Konto, das das Objekt erstellt hat, auch wenn dieses Konto ein anderes ist, als der Bucket-Besitzer. Sie können S3 Object Ownership verwenden, um Zugriffskontrolllisten zu deaktivieren, um dieses Verhalten zu ändern. Wenn Sie dies tun, geht jedes Objekt im Bucket in den Besitz des Bucket-Besitzers über. Weitere Informationen finden Sie unter Identity and Access Management in Amazon S3.
Amazon Macie
Entdecken und schützen Sie sensible Daten in großem Maßstab in Amazon S3 mit Amazon Macie. Macie liefert Ihnen automatisch eine vollständige Bestandsaufnahme Ihrer S3-Buckets, indem es Buckets scannt, um die Daten zu identifizieren und zu kategorisieren. Sie erhalten verwertbare Sicherheitsergebnisse, die alle Daten aufzählen, die zu diesen sensiblen Datentypen passen, einschließlich personenbezogenen Daten (PII) (z. B. Kundennamen und Kreditkartennummern) und Kategorien, die durch Datenschutzvorschriften wie die GDPR und HIPAA definiert sind. Macie wertet außerdem automatisch und kontinuierlich Präventivkontrollen auf Bucket-Ebene für alle Buckets aus, die unverschlüsselt, öffentlich zugänglich oder mit Konten außerhalb Ihrer Organisation geteilt sind, so dass Sie unbeabsichtigte Einstellungen an Buckets schnell beheben können.
Verschlüsselung
Amazon S3 verschlüsselt automatisch alle Objekt-Uploads in alle Buckets. Für Objekt-Uploads unterstützt Amazon S3 serverseitige Verschlüsselung mit vier Schlüsselverwaltungsoptionen: SSE-S3 (die Basisstufe der Verschlüsselung), SSE-KMS, DSSE-KMS und SSE-C sowie clientseitige Verschlüsselung. Amazon S3 bietet flexible Sicherheitsfunktionen, um unbefugten Benutzern den Zugriff auf Ihre Daten zu verwehren. Sie können mithilfe von VPC-Endpunkten eine Verbindung mit den S3-Ressourcen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) herstellen. Mit dem S3 Inventory können Sie den Verschlüsselungsstatus Ihrer S3-Objekte überprüfen (weitere Informationen zum S3 Inventory finden Sie unter Speicherverwaltung).
AWS Trusted Advisor
Trusted Advisor inspiziert Ihre AWS-Umgebung und spricht dann Empfehlungen aus, wenn sich Möglichkeiten zur Schließung von Sicherheitslücken bieten.
Trusted Advisor verfügt über die folgenden Amazon-S3-bezogenen Prüfungen: Protokollierung der Konfiguration von Amazon-S3-Buckets, Sicherheitsprüfungen für Amazon-S3-Buckets, die über offene Zugriffsberechtigungen verfügen. Fehlertoleranzprüfungen für Amazon-S3-Buckets, bei denen die Versioning nicht aktiviert ist oder die Versioning ausgesetzt wurde.
AWS PrivateLink für S3
Greifen Sie mit AWS PrivateLink für S3 direkt auf Amazon S3 als privaten Endpunkt innerhalb Ihres sicheren, virtuellen Netzwerks zu. Vereinfachen Sie Ihre Netzwerkarchitektur, indem Sie On-Premise oder in der Cloud eine Verbindung zu S3 über private IP-Adressen aus Ihrer Virtual Private Cloud (VPC) herstellen. Sie müssen keine öffentlichen IP-Adressen mehr verwenden, keine Firewall-Regeln konfigurieren oder kein Internet-Gateway konfigurieren, um von On-Premises aus auf S3 zuzugreifen.
Verifizieren der Datenintegrität
Wählen Sie zwischen vier unterstützten Prüfsummenalgorithmen (SHA-1, SHA-256, CRC32 oder CRC32C), um die Datenintegrität bei Ihren Up- und Download-Anfragen zu überprüfen. Berechnen und überprüfen Sie automatisch die Prüfsummen, wenn Sie Daten in Amazon S3 speichern oder abrufen, und rufen Sie die Prüfsummeninformationen jederzeit über die GetObjectAttributes S3 API oder einen S3-Inventarbericht ab.
Funktionsweise
-
AWS PrivateLink für Amazon S3
-
Amazon Macie
-
Sperrung des öffentlichen S3-Zugangs
-
Amazon GuardDuty für S3
-
AWS PrivateLink für Amazon S3
-
Stellen Sie eine direkte private Verbindung von On-Premise zu Amazon S3 her. Um zu beginnen, lesen Sie die Dokumentation von AWS PrivateLink für S3.
-
Amazon Macie
-
Erkennen und schützen Sie Ihre vertraulichen Daten beliebigen Umfangs. Um mit Amazon Macie zu beginnen, besuchen Sie die Website.
-
Sperrung des öffentlichen S3-Zugangs
-
Sperren Sie den gesamten öffentlichen Zugriff auf Amazon S3 jetzt und für die Zukunft. Um mehr über die Sperrung des öffentlichen S3-Zugangs zu erfahren, besuchen Sie die Webseite.
-
Amazon GuardDuty für S3
-
Schützen Sie Ihre Amazon-S3-Daten mit intelligenter Bedrohungserkennung, kontinuierlicher Überwachung und Malware-Scans. Weitere Informationen zu Amazon GuardDuty für Amazon S3 finden Sie auf der Webseite.
Amazon-S3-Ressourcen für Sicherheit, Zugriffsverwaltung, Verschlüsselung und Datenschutz
Lesen Sie das Amazon S3 Security and Data Protection, um mehr über Tools und bewährte Methoden für die Zugriffsverwaltung, Prüfung und Überwachung sowie den Datenschutz zu erfahren.
In diesem Amazon-S3-Datenschutzübersichtsvideo erfahren Sie mehr über die nativen Datenschutzfunktionen in Amazon S3, einschließlich S3-Versionierung, S3 Object Lock und S3-Replikation. Sie erhalten einen kurzen Überblick über jede dieser Datenschutzfunktionen von S3, erfahren, wie diese Funktionen Ihnen helfen können, Ihre Datenschutzziele zu erreichen, und erhalten nützliche Tipps zum Schutz Ihrer Daten mit Amazon S3.
Organisationen erstellen und migrieren ständig geschäftskritische digitale Assets in Amazon S3. Da Assets migriert und über Workflows hinweg verwendet werden, ist es wichtig, sicherzustellen, dass Dateien durch Netzwerkbeschädigungen, Festplattenausfälle oder andere unbeabsichtigte Probleme nicht verändert werden. Mithilfe von Algorithmen werden Dateien Byte für Byte gescannt, um eindeutige Fingerabdrücke für sie zu generieren, die als Prüfsummen bezeichnet werden. In diesem technischen Vortrag erfahren Sie, wie Sie Prüfsummen verwenden können, um sicherzustellen, dass Assets beim Kopieren nicht verändert werden. Erkunden Sie mehrere Amazon-S3-Prüfsummenoptionen zur Beschleunigung der Integritätsprüfung von Daten und entdecken Sie, wie Sie bestätigen können, dass jedes Byte unverändert übertragen wird, wodurch Sie die End-to-End-Datenintegrität aufrechterhalten können.
Die strenge Einhaltung von bewährten Methoden und proaktiven Kontrollen für die Architektur ist die Grundlage von Speichersicherheit und Zugriffskontrolle. In diesem Video lernen Sie bewährte Methoden für die Datensicherheit in Amazon S3 kennen. Überprüfen Sie die Grundlagen der Amazon-S3-Sicherheitsarchitektur und tauchen Sie in die neuesten Erweiterungen der Anwendbarkeit und Funktionalität ein. Ziehen Sie Optionen zur Verschlüsselung, Zugriffskontrolle, Sicherheitsüberwachung, Prüfung und Behebung in Betracht.
Amazon S3 verschlüsselt automatisch alle Objekt-Uploads in alle Buckets. Für Objekt-Uploads unterstützt Amazon S3 serverseitige Verschlüsselung mit vier Schlüsselverwaltungsoptionen: SSE-S3 (die Basisstufe der Verschlüsselung), SSE-KMS, DSSE-KMS und SSE-C sowie clientseitige Verschlüsselung. Amazon S3 bietet granulare Zugriffskontrollen für jeden Workload. In diesem Video lernen Sie die bewährten Methoden für Amazon S3-Verschlüsselung und Zugriffskontrolle kennen.
Bei der Erstellung und standardmäßig sind alle S3-Ressourcen privat und können nur vom Ressourcenbesitzer oder Kontoadministrator aufgerufen werden. Dieses Sicherheitsdesign ermöglicht Ihnen die Konfiguration fein abgestimmter Zugriffsrichtlinien, die auf die Anforderungen von Organisation, Verwaltung, Sicherheit und Compliance abgestimmt sind. In diesem Video erfahren Sie, wie Sie den Zugriff auf Ihre Daten mithilfe der Richtlinien von AWS Identity and Access Management (IAM) und S3-Bucket verwalten können.
S3 ist auf 11 9er Haltbarkeit, hohe Ausfallsicherheit und hohe Verfügbarkeit ausgelegt. Doch auch der robusteste Speicher kann nicht vor unbeabsichtigten oder versehentlichen Löschungen schützen. Außerdem sind Ransomware-Ereignisse ein wichtiger Grund, einen zusätzlichen Schutz für Ihre wichtigen Daten zu prüfen. Erfahren Sie mehr über S3-Funktionen, die zusätzliche Schutzebenen bieten, darunter S3-Versionierung, S3-regionsübergreifende Replikation (CRR) und S3-Objektsperre.
S3-Sicherheitsblogs
AWS News Blog
Amazon S3 verschlüsselt standardmäßig neue Objekte
Amazon S3 verschlüsselt standardmäßig alle neuen Objekte. Ab dem 5. Januar 2023 wendet S3 automatisch die serverseitige Verschlüsselung (SSE-S3) für jedes neue Objekt an, es sei denn, Sie geben eine andere Verschlüsselungsoption an. Diese Änderung setzt automatisch eine weitere bewährte Sicherheitsmethode in Kraft – ohne Auswirkungen auf die Leistung und ohne dass von Ihrer Seite eine Aktion erforderlich ist.
AWS News Blog
Achtung: Sicherheitsänderungen für Amazon S3 kommen im April 2023
Ab April 2023 werden wir zwei Änderungen an Amazon S3 vornehmen, um unsere neuesten Best Practices für Bucket-Sicherheit automatisch in Kraft zu setzen. Sobald die Änderungen für eine Zielregion wirksam werden, sind für alle neu erstellten Buckets in der Region standardmäßig S3 Block Public Access aktiviert und ACLs deaktiviert.
AWS News Blog
Vereinfachen Sie die Zugriffsverwaltung für in Amazon S3 gespeicherte Daten
Mit der neuen Amazon-S3-Objekteigentumseinstellung Bucket-Eigentümer erzwungen können Sie alle ACLs deaktivieren, die einem Bucket und den darin enthaltenen Objekten zugeordnet sind. Wenn Sie diese Einstellung auf Bucket-Ebene anwenden, werden alle Objekte im Bucket Eigentum des AWS-Kontos, das den Bucket erstellt hat, und ACLs werden nicht mehr verwendet, um Zugriff zu gewähren.
AWS NEWS BLOG
Neu — Amazon S3-Verschlüsselung auf zwei Ebenen mit im AWS Key Management Service (DSSE-KMS) gespeicherten Schlüsseln
Kunden können jetzt zwei unabhängige serverseitige Verschlüsselungsebenen auf Objekte in Amazon S3 anwenden. Die zweistufige serverseitige Verschlüsselung mit im AWS Key Management Service (DSSE-KMS) gespeicherten Schlüsseln erfüllt die Anforderungen der National Security Agency CNSSP 15 für FIPS-Konformität und die Richtlinien des Data-at-Rest Capability Package (DAR CP) Version 5.0 für zweistufige CNSA-Verschlüsselung. Amazon S3 ist der einzige Cloud-Objektspeicherdienst, bei dem Kunden zwei Verschlüsselungsebenen auf Objektebene anwenden und die für beide Ebenen verwendeten Datenschlüssel kontrollieren können.
Weitere Informationen zu Amazon-S3-Funktionen.
Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent.
Beginnen Sie mit dem Erstellen mit Amazon S3 in der AWS-Managementkonsole.