Manajemen Keamanan dan Akses Amazon S3

Untuk melindungi data Anda di Amazon S3, secara default, pengguna hanya dapat mengakses ke sumber daya S3 yang dibuatnya. Anda dapat mengizinkan pengguna lain dengan menggunakan salah satu atau kombinasi fitur pengelolaan akses berikut: AWS Identity and Access Management (IAM) untuk membuat pengguna dan mengelola aksesnya masing-masing; Access Control Lists (ACL) agar masing-masing objek dapat diakses pengguna sah; kebijakan bucket untuk mengonfigurasi izin bagi semua objek di dalam satu bucket S3; dan Autentikasi String Permintaan untuk mengizinkan akses berbatas waktu kepada yang lain dengan URL sementara. Amazon S3 juga mendukung Log Audit yang berisi daftar permintaan yang dibuat terhadap sumber daya S3 Anda untuk visibilitas lengkap tentang siapa yang mengakses data tertentu.

Dengan beberapa klik di konsol manajemen S3, Anda dapat menerapkan Blokir Akses Publik S3 pada setiap bucket di akun Anda—baik bucket yang sudah ada maupun bucket baru yang akan dibuat—dan pastikan tidak ada akses publik ke objek apa pun. Semua bucket baru mengaktifkan Blokir Akses Publik secara default. Untuk membatasi akses ke semua bucket yang ada di akun, Anda dapat mengaktifkan Blokir Akses Publik di tingkat akun. Pengaturan Blokir Akses Publik S3 mengesampingkan izin S3 yang mengizinkan akses publik sehingga memudahkan administrator akun untuk menyiapkan kontrol terpusat guna mencegah variasi konfigurasi keamanan terlepas dari cara objek ditambahkan atau bucket dibuat.

Kunci Objek Amazon S3 memblokir penghapusan versi objek selama periode retensi yang ditentukan pelanggan sehingga Anda dapat memberlakukan kebijakan retensi sebagai lapisan perlindungan data tambahan atau untuk kepatuhan terhadap peraturan. Anda dapat memindahkan beban kerja dari sistem tulis-sekali-baca-banyak (WORM) yang ada ke dalam Amazon S3 serta mengonfigurasikan Kunci Objek S3 pada tingkat objek dan bucket untuk mencegah penghapusan versi objek sebelum Tanggal Tahan atau Tanggal Penahanan Legal yang telah ditetapkan sebelumnya.

Amazon S3 Object Ownership menonaktifkan Daftar Kontrol Akses (ACL), mengubah kepemilikan semua objek ke pemilik bucket dan menyederhanakan manajemen akses untuk data yang disimpan di S3. Saat Anda mengonfigurasi pengaturan yang diterapkan pemilik Bucket Kepemilikan Objek S3, ACL tidak akan lagi memengaruhi izin untuk bucket Anda dan objek di dalamnya. Seluruh kontrol akses akan ditetapkan menggunakan kebijakan berbasis sumber daya, kebijakan pengguna, atau beberapa kombinasi dari keduanya. ACL secara otomatis dinonaktifkan untuk bucket baru. Anda dapat menggunakan S3 Inventory untuk meninjau penggunaan ACL di bucket sebelum mengaktifkan S3 Object Ownership saat bermigrasi ke kebijakan bucket berbasis IAM. Untuk informasi selengkapnya, lihat Mengontrol Object Ownership.

Secara default, semua sumber daya Amazon S3—bucket, objek, dan sub-sumber daya terkait—bersifat privat: hanya pemilik sumber daya, akun AWS yang membuatnya, yang dapat mengakses sumber daya. Amazon S3 menawarkan opsi kebijakan akses yang secara luas dikategorikan sebagai kebijakan berbasis sumber daya dan kebijakan pengguna. Anda dapat memilih untuk menggunakan kebijakan berbasis sumber daya, kebijakan pengguna, atau beberapa kombinasi dari keduanya untuk mengelola izin ke sumber daya Amazon S3 Anda. Dengan default, sebuah objek S3 dimiliki oleh akun yang membuat objek tersebut, termasuk saat akun tersebut berbeda dengan pemilik bucket. Anda dapat menggunakan S3 Object Ownership untuk menonaktifkan Daftar Kontrol Akses dan mengubah perilaku ini. Jika Anda melakukannya, setiap objek di bucket dimiliki oleh pemilik bucket. Untuk informasi selengkapnya, lihat Identity and access management di Amazon S3.

Temukan dan lindungi data sensitif dalam skala besar di Amazon S3 dengan Amazon Macie. Macie secara otomatis memberi Anda inventaris bucket S3 yang lengkap dengan memindai bucket untuk mengidentifikasi dan mengategorikan data. Anda menerima temuan keamanan yang dapat ditindaklanjuti yang menghitung data apa pun yang sesuai dengan tipe data sensitif ini, termasuk PII (mis. nama pelanggan dan nomor kartu kredit), dan kategori yang ditentukan oleh aturan privasi, seperti GDPR dan HIPAA. Macie juga secara otomatis dan terus-menerus mengevaluasi kontrol pencegahan tingkat bucket untuk setiap bucket yang tidak dienkripsi, dapat diakses publik, atau dibagikan dengan akun di luar organisasi Anda, sehingga Anda dapat dengan cepat menangani pengaturan yang tidak diinginkan pada bucket.

Amazon S3 secara otomatis akan mengenkripsi semua unggahan objek ke semua bucket. Untuk unggahan objek, Amazon S3 mendukung enkripsi di sisi server dengan empat opsi manajemen kunci: SSE-S3 (tingkat dasar enkripsi), SSE-KMS, DSSE-KMS, dan SSE-C, serta enkripsi di sisi klien. Amazon S3 menawarkan fitur keamanan fleksibel untuk memblokir pengguna tidak sah agar tidak mengakses data Anda. Gunakan titik akhir VPC untuk terhubung ke sumber daya S3 dari Amazon Virtual Private Cloud (Amazon VPC) Anda. Gunakan Inventaris S3 untuk memeriksa status enkripsi objek S3 Anda (lihat manajemen penyimpanan untuk informasi selengkapnya mengenai Inventaris S3).

Video: Gambaran umum enkripsi data Amazon S3 »

Trusted Advisor menginspeksi lingkungan AWS Anda lalu membuat rekomendasi saat terdapat peluang untuk membantu menutup celah keamanan. 

Trusted Advisor memiliki pemeriksaan terkait Amazon S3 berikut: konfigurasi pencatatan bucket Amazon S3, pemeriksaan keamanan untuk bucket Amazon S3 yang memiliki izin akses terbuka, dan pemeriksaan toleransi kesalahan untuk bucket Amazon S3 yang tidak memiliki versioning yang diaktifkan, atau memiliki versioning yang ditangguhkan.

Akses Amazon S3 secara langsung sebagai titik akhir pribadi di jaringan virtual Anda yang aman dengan AWS PrivateLink untuk S3. Sederhanakan arsitektur jaringan Anda dengan menghubungkan ke S3 secara on-premise atau di cloud menggunakan alamat IP pribadi dari Virtual Private Cloud (VPC). Anda tidak perlu lagi menggunakan IP publik, mengonfigurasi aturan firewall, atau mengonfigurasi gateway internet untuk mengakses S3 dari on-premise.

Pilih dari empat algoritme checksum yang didukung (SHA-1, SHA-256, CRC32, atau CRC32C) untuk memeriksa integritas data pada permintaan unggahan dan unduhan Anda. Hitung dan verifikasi checksum secara otomatis saat Anda menyimpan atau mengambil data dari Amazon S3, serta dapatkan akses informasi checksum kapan pun menggunakan API S3 GetObjectAttributes atau laporan Inventaris S3.

Tutorial memulai pengecekan integritas data S3

Tech Talk: Get started with checksums in Amazon S3 for data integrity checking

Blog: Membangun checksum yang dapat diskalakan

Blog: Mengaktifkan dan memvalidasi checksum tambahan pada objek yang sudah ada di Amazon S3