Sécurité de l’infrastructure dans Amazon S3

En tant que service géré, Amazon S3 est protégé par les procédures de sécurité du réseau AWS mondial décrites dans le pilier de sécurité du AWS Well-Architected Framework.

L'accès à Amazon S3 via le réseau se fait via des API AWS publiées. Les clients doivent prendre en charge le protocole TLS (Transport Layer Security) 1.2. Nous recommandons également de prendre en charge le protocole TLS 1.3 et l'échange de clés post-quantique hybride. Pour en savoir plus sur la cryptographie post-quantique sur AWS, y compris des liens vers des articles de blog et des articles de recherche, voir Post-QuantumCryptographie pour. AWS

Les clients doivent également prendre en charge les suites de chiffrement avec Perfect Forward Secrecy (PFS), telles que Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral (ECDHE). Diffie-Hellman En outre, les demandes doivent être signées à l'aide de AWS la signature V4 ou de AWS la signature V2, ce qui nécessite la fourniture d'informations d'identification valides.

Ces API peuvent être appelées depuis n’importe quel emplacement réseau. Toutefois, Amazon S3 prend bel et bien en charge les stratégies d’accès basées sur les ressources, ce qui peut inclure des restrictions en fonction de l’adresse IP source. Vous pouvez aussi utiliser des stratégies de compartiment Amazon S3 pour contrôler l’accès aux compartiments à partir de points de terminaison de Virtual Private Cloud (VPC) spécifiques ou de VPC spécifiques. En fait, cela isole l'accès réseau à un compartiment Amazon S3 donné uniquement du VPC spécifique au sein AWS du réseau. Pour de plus amples informations, veuillez consulter Contrôle de l’accès à partir des points de terminaison d’un VPC avec des stratégies de compartiment.

Les bonnes pratiques de sécurité suivantes s’appliquent également à la sécurité de l’infrastructure dans Amazon S3 :