Capacidades inigualables de seguridad, conformidad y auditoría
Almacene los datos en Amazon S3 y protéjalos del acceso no autorizado con características de cifrado y herramientas de administración de acceso. S3 cifra todas las cargas de objetos a todos los buckets. S3 es el único servicio de almacenamiento de objetos que le permite bloquear el acceso público a todos sus objetos a nivel de bucket o cuenta con S3 Block Public Access. S3 mantiene programas de conformidad, como PCI-DSS, HIPAA/HITECH, FedRAMP, la Directiva de Protección de Datos de la UE y FISMA, para ayudarle a cumplir los requisitos normativos. AWS también es compatible con un gran número de capacidades de auditoría que permiten supervisar las solicitudes de acceso a los recursos de S3.
Administración de acceso y seguridad de Amazon S3
Para proteger sus datos en Amazon S3, de forma predeterminada, los usuarios solo tienen acceso a los recursos de S3 que ellos mismos crean. Para conceder acceso a otros usuarios, utilice una de las siguientes características de administración de acceso o una combinación de ellas: AWS Identity and Access Management (IAM), para crear usuarios y administrar su correspondiente acceso; Listas de control de acceso (ACL), para conceder acceso a objetos individuales a los usuarios autorizados; políticas de bucket, a fin de configurar permisos para todos los objetos de un único bucket de S3; y, por último, la autenticación por cadena de consulta, para conceder acceso a otros usuarios por tiempo limitado con direcciones URL temporales. Amazon S3 también admite los registros de auditoría, que enumeran las solicitudes realizadas a sus recursos de S3 para obtener total visibilidad de quién obtiene acceso a los distintos datos.
Bloqueo de acceso público de S3
Con unos clics en la consola de administración de S3, puede aplicar Bloqueo de acceso público de S3 a cada bucket en su cuenta, tanto en los existentes como en los que cree. De esta forma, se asegura de que no se pueda acceder públicamente a ningún objeto. Todos los buckets nuevos tienen habilitado Bloqueo de acceso público de forma predeterminada. Para restringir el acceso a todos los buckets existentes en su cuenta, puede activar el Bloqueo del acceso público a nivel de cuenta. Las configuraciones de Bloqueo de acceso público de S3 anulan los permisos de S3 que permiten el acceso público, lo que le facilita al administrador de la cuenta configurar un control centralizado para evitar variaciones en la configuración de seguridad, independientemente de cómo se agregue un objeto o se cree un bucket.
Bloqueo de objetos de S3
Bloqueo de objetos de Amazon S3 evita la eliminación de objetos durante un periodo de retención definido por el cliente para que pueda aplicar políticas de retención, como un nivel adicional para proteger los datos o para cumplir con la normativa. Puede migrar las cargas de trabajo desde sistemas del tipo de escritura única y lectura múltiple (WORM) hacia Amazon S3 y configurar Bloqueo de objetos de S3 en el objeto y en el bucket para evitar la eliminación de una versión del objeto con anterioridad a la fecha que figura en Retener hasta o en Fechas de retención legal.
Propiedad del objeto de S3
La propiedad del objeto de Amazon S3 desactiva las listas de control de acceso (ACL), lo que cambia la propiedad de todos los objetos al propietario del bucket y simplifica la administración del acceso para los datos almacenados en S3. Cuando define la configuración Bucket owner enforced (Propietario del bucket aplicado) de la propiedad del objeto de S3, las ACL ya no afectarán los permisos de su bucket y los objetos que contiene. Todo el control de acceso se definirá mediante políticas basadas en recursos, políticas de usuario o alguna combinación de estas. Las ACL se desactivan automáticamente para los buckets nuevos. Puede usar S3 Inventory para revisar el uso de las ACL en sus buckets antes de habilitar S3 Object Ownership al migrar a políticas de buckets basadas en IAM. Para más información, consulte Control de la propiedad de los objetos.
Identity and Access Management
De forma predeterminada, todos los recursos de Amazon S3 (buckets, objetos y subrecursos relacionados) son privados: solo el propietario del recurso, la cuenta de AWS con la cual se creó, puede acceder a él. Amazon S3 ofrece opciones de políticas de acceso que se clasifican en términos generales como políticas basadas en recursos y políticas de usuario. Puede elegir utilizar políticas basadas en recursos, políticas de usuario o alguna combinación de estas para administrar los permisos de sus recursos de Amazon S3. De manera predeterminada, un objeto de S3 le pertenece a la cuenta que creó el objeto, lo que incluye cuando esta cuenta es diferente al propietario del bucket. Puede usar la propiedad del objeto de S3 para desactivar listas de control de acceso (ACL) y cambiar este comportamiento. Si lo hace, cada objeto en un bucket le pertenece al propietario del bucket. Para obtener más información, consulte Administración de identidad y acceso en Amazon S3.
Amazon Macie
Descubra y proteja su información confidencial a escala en Amazon S3 con Amazon Macie. Macie proporciona automáticamente un inventario completo de buckets de S3 mediante el escaneo de buckets para identificar y categorizar los datos. Recibe resultados de seguridad procesables que enumeran cualquier dato que se ajuste a estos tipos de informaciones confidenciales, como la información de identificación personal (PII) (por ejemplo, nombres de clientes y números de tarjetas de crédito) y categorías definidas por las regulaciones de privacidad, como el GDPR y la HIPAA. Macie también evalúa de forma automática y continua los controles preventivos a nivel de bucket para cualquier bucket que no esté cifrado, ya sea de acceso público o que se comparta con cuentas fuera de su organización, lo que permite abordar rápidamente la configuración no deseada de los buckets.
Cifrado
Amazon S3 cifra automáticamente todas las cargas de objetos a todos los buckets. Para las cargas de objetos, Amazon S3 admite el cifrado del lado del servidor con cuatro opciones de administración de claves: SSE-S3 (el nivel básico de cifrado), SSE-KMS, DSSE-KMS y SSE-C, así como el cifrado del cliente. Amazon S3 ofrece características de seguridad flexibles para bloquear el acceso de usuarios no autorizados a sus datos. Utilice los puntos de conexión de VPC para conectarse a los recursos de S3 desde su instancia de Amazon Virtual Private Cloud (Amazon VPC). Utilice S3 Inventory para comprobar el estado de cifrado de sus objetos de S3 (consulte administración del almacenamiento para obtener más información sobre S3 Inventory).
AWS Trusted Advisor
Trusted Advisor inspecciona el entorno de AWS y luego realiza recomendaciones cuando surgen oportunidades para solucionar déficits de seguridad.
Trusted Advisor tiene las siguientes comprobaciones relacionadas con Amazon S3: configuración de registro de buckets de Amazon S3, comprobaciones de seguridad para buckets de Amazon S3 que tengan permisos de acceso abierto, y comprobaciones de tolerancia a errores para los buckets de Amazon S3 que no tengan el control de versiones habilitado o que lo tengan suspendido.
AWS PrivateLink para S3
Obtenga acceso a Amazon S3 de forma directa como un punto de enlace privado dentro de la red virtual segura con AWS PrivateLink para S3. Simplifique la arquitectura de la red al conectarse a S3 desde las instalaciones o en la nube mediante direcciones IP privadas desde Virtual Private Cloud (VPC). Ya no necesita usar IP públicas, configurar las reglas de firewall ni configurar una puerta de enlace de Internet para acceder a S3 de forma local.
Verificar la integridad de los datos
Elija entre cuatro algoritmos de suma de comprobación compatibles (SHA-1, SHA-256, CRC32, o CRC32C) para comprobar la integridad de los datos de las solicitudes de carga y descarga. Calcule y verifique automáticamente sumas de comprobación a medida que almacena o recupera datos de Simple Storage Service (Amazon S3) y acceda a la información de la suma de comprobación en cualquier momento usando la nueva API GetObjectAttributes de S3 o el informe de inventario de S3.
Funcionamiento
-
AWS PrivateLink para Amazon S3
-
Amazon Macie
-
Bloqueo de acceso público a S3
-
Amazon GuardDuty para S3
-
AWS PrivateLink para Amazon S3
-
Establezca una conexión privada directa desde las instalaciones a Amazon S3. Para comenzar, lea la documentación sobre AWS PrivateLink para S3.
-
Amazon Macie
-
Descubra y proteja los datos confidenciales a escala. Para comenzar a utilizar Amazon Macie, visite el sitio web.
-
Bloqueo de acceso público a S3
-
Bloquee todo el acceso público a Amazon S3 ahora y a futuro. Para obtener más información acerca del bloqueo de acceso público a S3, visite la página web.
-
Amazon GuardDuty para S3
-
Proteja los datos de Amazon S3 con la detección de amenazas inteligente, la supervisión constante y el análisis de malware. Para obtener más información acerca de Amazon GuardDuty para Amazon S3, visite la página web.
Recursos de seguridad, administración del acceso, cifrado y protección de datos de Amazon S3
Lea el libro electrónico sobre seguridad y protección de datos de Amazon S3 para obtener información sobre las herramientas y las prácticas recomendadas para la administración del acceso, la auditoría y la supervisión, y la protección de datos.
En este vídeo informativo sobre la protección de datos de Amazon S3, conocerá las características nativas de protección de datos de Amazon S3, como el control de versiones de S3, el Object Lock de S3 y la replicación de S3. Obtendrá un breve resumen de cada una de estas características de protección de datos de S3, aprenderá cómo estas características pueden ayudarlo a cumplir sus objetivos de protección de datos y obtendrá consejos útiles sobre cómo proteger sus datos utilizando Amazon S3.
Las organizaciones crean y migran constantemente activos digitales críticos para la empresa a Amazon S3. A medida que los activos se migran y se utilizan en los flujos de trabajo, es importante asegurarse de que los archivos permanecen inalterados por la corrupción de la red, fallos del disco duro u otros problemas involuntarios. Se utilizan algoritmos para escanear los archivos byte a byte y generar huellas digitales únicas para ellos, conocidas como sumas de comprobación. En esta charla de tecnología, aprenda cómo puede utilizar las sumas de comprobación para verificar que los activos no se alteran al copiarlos. Explore las múltiples opciones de sumas de comprobación de Amazon S3 para acelerar la comprobación de la integridad de los datos y descubra cómo puede confirmar que cada byte se transfiere sin alteraciones, lo que le permite mantener la integridad de los datos de extremo a extremo.
El sólido cumplimiento de las prácticas recomendadas de arquitectura y los controles proactivos es el pilar de la seguridad de almacenamiento y los controles de acceso. En este video, aprenderá sobre las prácticas recomendadas para la seguridad de datos en Amazon S3. Revise los aspectos fundamentales de la arquitectura de la seguridad de Amazon S3 y profundice sus conocimientos en las mejoras más recientes de facilidad de uso y funcionalidad. Examine las opciones de cifrado, control de acceso, monitoreo de seguridad, auditoría y corrección.
Amazon S3 cifra automáticamente todas las cargas de objetos a todos los buckets. Para las cargas de objetos, Amazon S3 admite el cifrado del lado del servidor con cuatro opciones de administración de claves: SSE-S3 (el nivel básico de cifrado), SSE-KMS, DSSE-KMS y SSE-C, así como el cifrado del cliente. Amazon S3 ofrece controles de acceso detallados que se adaptan a cualquier carga de trabajo. En este vídeo, conozca las prácticas recomendadas de cifrado y control de acceso de Amazon S3.
Todos los recursos de S3, cuando se crean y de forma predeterminada, son privados y solo el propietario del recurso o el administrador de la cuenta pueden acceder a ellos. Este diseño de seguridad le permite configurar políticas sofisticadas de acceso que estén en línea con los requisitos organizativos, de gobernanza, seguridad y cumplimiento. En este video descubrirá las diferentes formas en que puede administrar el acceso a sus datos mediante AWS Identity and Access Management (IAM) y las políticas de bucket de S3.
S3 está diseñado para 11 nueves de durabilidad, gran resistencia y una alta disponibilidad. Sin embargo, incluso el almacenamiento más duradero no puede proteger contra la eliminación accidental o no intencionada. Además, los eventos de ransomware son un motivo primordial para evaluar una protección adicional para sus datos importantes. Más información acerca de las herramientas de S3 que brindan capas adicionales de protección, lo cual incluye el control de versiones de S3, la replicación entre regiones de S3 (CRR) y el bloqueo de objetos de S3.
Blogs de seguridad de S3
Blog de novedades de AWS
Amazon S3 cifra los objetos nuevos por defecto
Amazon S3 cifra todos los objetos nuevos por defecto. A partir del 5 de enero de 2023, S3 aplica automáticamente el cifrado del extremo del servidor (SSE-S3) para cada nuevo objeto, a menos que especifique una opción de cifrado diferente. Este cambio pone en marcha otra de las prácticas recomendadas de seguridad de forma automática, sin impacto en el rendimiento y sin que sea necesaria ninguna acción por su parte.
Blog de novedades de AWS
Atención: Los cambios de seguridad de Amazon S3 llegarán en abril de 2023
A partir de abril de 2023, realizaremos dos cambios en Amazon S3 para poner en marcha automáticamente nuestras últimas prácticas recomendadas para la seguridad de los buckets. Una vez que los cambios estén en vigor para una región de destino, todos los buckets recién creados en la región tendrán por defecto habilitado el Bloqueo de acceso público de S3 y deshabilitadas las ACL.
Blog de novedades de AWS
Simplifique la administración del acceso a los datos almacenados en Amazon S3
El nuevo ajuste de propiedad de objetos de Amazon S3, Bucket owner enforced (Aplicada al propietario del bucket), le permite deshabilitar todas las ACL asociadas a un bucket y a los objetos que contiene. Al aplicar este ajuste en el nivel de bucket, todos los objetos del bucket pasan a ser propiedad de la cuenta de AWS que creó el bucket, y ya no se utilizan ACL para conceder acceso.
BLOG DE NOVEDADES DE AWS
Nuevo: cifrado de doble capa de Amazon S3 en el lado del servidor con claves almacenadas en AWS Key Management Service (DSSE-KMS)
Los clientes ahora pueden aplicar dos capas independientes de cifrado del lado del servidor a los objetos de Amazon S3. El cifrado de doble capa en el servidor con claves almacenadas en AWS Key Management Service (DSSE-KMS) está diseñado para cumplir con la política CNSSP 15 de la National Security Agency a fin de satisfacer los estándares FIPS y el paquete de capacidad de datos en reposo (DAR CP) versión 5.0 para las dos capas de cifrado CNSA. Amazon S3 es el único servicio de almacenamiento de objetos en la nube en el que los clientes pueden aplicar dos capas de cifrado a nivel de objeto y controlar las claves de datos utilizadas en ambas capas.
Obtenga acceso instantáneo a la capa gratuita de AWS.
Comience a crear con Amazon S3 en la consola de administración de AWS.