Infrastruktursicherheit in Amazon S3

Als verwalteter Service ist Amazon S3 durch die AWS globalen Netzwerksicherheitsverfahren geschützt, die in der Sicherheitssäule des AWS Well-Architected Frameworks beschrieben sind.

Der Zugriff auf Amazon S3 über das Netzwerk erfolgt über AWS veröffentlichte APIs. Clients müssen Transport Layer Security (TLS) 1.2 unterstützen. Wir empfehlen, auch TLS 1.3 und den hybriden Post-Quantum-Schlüsselaustausch zu unterstützen. Weitere Informationen zur Post-Quanten-Kryptografie AWS, einschließlich Links zu Blogbeiträgen und Forschungsarbeiten, finden Sie unter Post-Quantum Kryptografie für. AWS

Kunden müssen außerdem Cipher Suites mit Perfect Forward Secrecy (PFS) wie Ephemeral (DHE) oder Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) unterstützen. Diffie-Hellman Darüber hinaus müssen Anfragen mit Signature V4 oder Signature V2 signiert werden, wobei AWS gültige Anmeldeinformationen erforderlich sind. AWS

Diese APIs lassen sich von einem beliebigen Netzwerkstandort aus aufrufen. Da Amazon S3 jedoch ressourcenbasierte Zugriffsrichtlinien unterstützt, kann es zu Einschränkungen bezüglich der Quell-IP-Adresse kommen. Sie können auch Amazon S3 Bucket-Richtlinien verwenden, um den Zugriff auf Buckets von bestimmten Virtual Private Cloud (VPC)-Endpunkten oder bestimmten VPCs aus zu steuern. Dadurch wird der Netzwerkzugriff auf einen bestimmten Amazon S3 S3-Bucket effektiv nur von der spezifischen VPC innerhalb des AWS Netzwerks isoliert. Weitere Informationen finden Sie unter Steuern des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien.

Die folgenden bewährten Sicherheitsmethoden beziehen sich ebenfalls auf die Sicherheit der Infrastruktur von Amazon S3: