Protección de los buckets de almacenamiento de objetos de Lightsail - Amazon Lightsail
Prácticas recomendadas de seguridad preventivasMonitorización y auditoría de prácticas recomendadas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de los buckets de almacenamiento de objetos de Lightsail

Amazon LightsailEl almacenamiento de objetos de proporciona un número de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.

Prácticas recomendadas de seguridad preventivas

Las siguientes prácticas recomendadas pueden ayudar a evitar incidentes de seguridad con los buckets de Lightsail.

Implementación del acceso a los privilegios mínimos

Cuando concede permisos, debe decidir a quién concede cada permiso y para qué recurso de Lightsail se lo concede. Habilite las acciones específicas que desea permitir en dichos recursos. Por lo tanto, debe conceder únicamente los permisos obligatorios para realizar una tarea. La implementación del acceso con privilegios mínimos es esencial a la hora de reducir los riesgos de seguridad y el impacto que podrían causar los errores o los intentos malintencionados.

Para obtener más información sobre la creación de una política de IAM para administrar los buckets, consulte Política de IAM para administrar buckets. Para obtener más información sobre las acciones de Amazon S3 compatibles con los buckets de Lightsail, consulte Actions for object storage en la referencia de la API de Amazon Lightsail.

Verificar que los buckets de Lightsail no son de acceso público

De forma predeterminada, los buckets y los objetos son privados. Mantenga su bucket privado con el permiso de acceso al bucket establecido en All objects are private (Todos los objetos son privados). Para la mayoría de los casos de uso, no es necesario que el bucket ni los objetos individuales sean públicos. Para obtener más información, consulte Configuración de permisos de acceso para objetos de bucket individuales.

Permisos de acceso al bucket en la consola de Lightsail

Sin embargo, si utiliza su bucket para alojar contenido multimedia para su sitio web o aplicación, en determinados casos, es posible que deba hacer públicos el bucket u objetos individuales. Puede configurar una de las siguientes opciones para que el bucket u objetos individuales sean públicos:

  • Si solo algunos de los objetos de un bucket tienen que ser públicos (de solo lectura) para cualquier persona en Internet, cambie el permiso de acceso al bucket a Individual objects can be made public and read-only (Los objetos individuales pueden hacerse públicos y de solo lectura), y cambie solo los objetos que tienen que ser públicos a Public (read-only) (Público [de solo lectura]). Esta opción mantiene el bucket privado, pero le da la opción de hacer públicos objetos individuales. No haga público un objeto individual si contiene información sensible o confidencial que no desea que sea de acceso público. Si hace públicos objetos individuales, debe validar periódicamente la accesibilidad pública de cada objeto individual.

    Permisos de acceso al bucket en la consola de Lightsail

  • Si todos los objetos del bucket deben ser públicos (de solo lectura) para cualquier persona en Internet, cambie el permiso de acceso al bucket a All objects are public and read-only (Todos los objetos son públicos y de solo lectura). No utilice esta opción si alguno de los objetos del bucket contiene información sensible o confidencial.

    Permisos de acceso al bucket en la consola de Lightsail

  • Si cambió previamente un bucket para que fuera público, o cambió objetos individuales para que fueran públicos, puede cambiar rápidamente el bucket y todos sus objetos para que sean privados cambiando el permiso de acceso al bucket a All objects are private (Todos los objetos son privados).

    Permisos de acceso al bucket en la consola de Lightsail

Habilitación del bloqueo del acceso público en Amazon S3

Los recursos de almacenamiento de objetos de Lightsail tienen en cuenta tanto los permisos de acceso a los buckets de Lightsail como las configuraciones del bloqueo del acceso público de cuenta de Amazon S3 a la hora de permitir o denegar el acceso público. Con el bloqueo del acceso público de cuenta de Amazon S3, los administradores de cuentas y propietarios de los buckets pueden limitar de forma centralizada el acceso público a sus buckets de Amazon S3 y Lightsail. El bloqueo del acceso público puede hacer que todos los buckets de Amazon S3 y Lightsail sean privados, independientemente de cómo se crean los recursos y los permisos de los buckets y los objetos individuales que se hayan podido configurar. Para obtener más información, consulte Bloqueo del acceso público a buckets.

Adjuntar instancias a buckets para conceder acceso completo mediante programación

Adjuntar una instancia a un bucket de almacenamiento de objetos de Lightsail es la forma más segura de proporcionar acceso al bucket. La funcionalidad Resource access (Acceso a recursos), que es la forma de adjuntar una instancia a un bucket, concede a la instancia un acceso completo al bucket mediante programación. Con este método, no es necesario almacenar las credenciales del bucket directamente en la instancia o la aplicación, ni rotar periódicamente las credenciales. Por ejemplo, algunos complementos de WordPress pueden acceder a un bucket al que la instancia tiene acceso. Para más información, consulte Configuración del acceso a recursos para un bucket y Tutorial: Conexión de una instancia de WordPress en un bucket.

Acceso a recursos del bucket en la consola de Lightsail

Sin embargo, si la aplicación no está en una instancia de Lightsail, entonces puede crear y configurar claves de acceso al bucket. Las claves de acceso a buckets son credenciales a largo plazo que no se rotan automáticamente. Para obtener más información, consulte Creación de claves de acceso para los buckets de almacenamiento de objetos de Lightsail.

Claves de acceso a buckets en la consola de Lightsail

Rotación de las claves de acceso del bucket

Puede tener un máximo de dos claves de acceso por bucket. Aunque puede tener dos claves de acceso diferentes al mismo tiempo, se recomienda que solo cree una clave de acceso a la vez para el bucket fuera de los momentos de rotación de claves. Este enfoque garantiza que pueda crear una nueva clave de acceso del bucket en cualquier momento sin la posibilidad de que esté en uso. Por ejemplo, crear la segunda clave de acceso para la rotación es útil si la clave de acceso secreta existente se copia, se pierde o se ve comprometida, y necesita rotar la clave de acceso existente.

Si utiliza una clave de acceso con el bucket, debe rotar periódicamente las claves y hacer un inventario de las existentes. Confirme que la fecha en que se utilizó por última vez una clave de acceso y la Región de AWS en la que se utilizó se corresponden con sus expectativas respecto a cómo debe utilizarse la clave. La fecha en la que se utilizó por última vez una clave de acceso aparece en la consola de Lightsail, en la sección Claves de acceso, dentro de la pestaña Permisos de la página de administración del bucket. Elimine las claves de acceso que no se utilizan.

Para rotar una clave de acceso, debe crear una nueva clave de acceso, configurarla en el software y probarla, y luego eliminar la clave de acceso utilizada anteriormente. Después de eliminar una clave de acceso, desaparece para siempre y ya no se puede restaurar. Solo puede reemplazarla por una nueva clave de acceso. Para obtener más información, consulte Creación de claves de acceso para los buckets de almacenamiento de objetos de Lightsail y Eliminación de claves de acceso para un bucket de almacenamiento de objetos de Lightsail.

Uso del acceso entre cuentas para dar a otras cuentas de AWS acceso a los objetos del bucket

Puede utilizar el acceso entre cuentas para que los objetos de un bucket sean accesibles para una persona específica que tiene una cuenta de AWS sin hacer que el bucket y los objetos sean públicos. Si ha configurado el acceso entre cuentas, asegúrese de que los ID de las cuentas que aparecen son las cuentas correctas a las que desea dar acceso a los objetos del bucket. Para obtener más información, consulte Configuración del acceso entre cuentas para un bucket.

Acceso entre cuentas de bucket en la consola de Lightsail

Cifrado de datos

Lightsail realiza el cifrado del lado del servidor con claves administradas de Amazon y el cifrado de los datos en tránsito mediante la aplicación de HTTPS (TLS). El cifrado del lado del servidor ayuda a reducir los riesgos de los datos al cifrarlos con una clave que se almacena en un servicio independiente. Además, el cifrado de los datos en tránsito ayuda a evitar que posibles atacantes espíen o manipulen el tráfico de la red mediante ataques de intermediario o similares.

Habilitación del control de versiones

El control de versiones es una forma de conservar diversas variantes de un objeto en el mismo bucket. Puede utilizar el control de versiones para conservar, recuperar y restaurar todas las versiones de los objetos almacenados en su bucket de Lightsail. Con el control de versiones, puede recuperarse fácilmente de acciones no deseadas del usuario y de errores de la aplicación. Para obtener más información, consulte Habilitación y suspensión del control de versiones de objetos en un bucket.

Monitorización y auditoría de prácticas recomendadas

Las siguientes prácticas recomendadas pueden ayudarle a detectar posibles debilidades e incidentes de seguridad para los buckets de Lightsail.

Habilitar el registro de acceso y realizar auditorías periódicas de seguridad y acceso

El registro de acceso brinda registros detallados para las solicitudes realizadas a un bucket. Esta información puede incluir el tipo de solicitud (GET, PUT), los recursos especificados en la solicitud y la hora y la fecha en que se procesó la solicitud. Habilite el registro de acceso para un bucket y realice periódicamente una auditoría de seguridad y acceso para identificar las entidades que acceden al bucket. De forma predeterminada, Lightsail no recopila registros de acceso para los buckets. Debe habilitar manualmente el registro de acceso. Para obtener más información, consulte Registros de acceso al bucket y Habilitar el registro de acceso para un bucket.

Identificar, etiquetar y auditar los buckets de Lightsail

La identificación de sus activos de TI es un aspecto fundamental de seguridad y control. Tiene que tener una visión de todos sus buckets de Lightsail para evaluar sus posiciones de seguridad y tomar así las acciones pertinentes respecto a las posibles áreas débiles.

Utilice etiquetas para identificar los recursos que precisan más seguridad o una auditoría y utilice dichas etiquetas cuando tenga que buscarlos. Para obtener más información, consulte Etiquetas.

Implementación de la supervisión mediante las herramientas de supervisión de AWS

El monitoreo es una parte importante del mantenimiento de la fiabilidad, la seguridad, la disponibilidad y el rendimiento de los buckets y otros recursos de Lightsail. Puede monitorear y crear alarmas de notificación para las métricas Bucket size (BucketSizeBytes) (Tamaño del bucket) y Number of objects (NumberOfObjects) (Número de objetos) del bucket en Lightsail. Por ejemplo, es posible que desee recibir una notificación cuando el tamaño de su bucket aumente o disminuya a un tamaño específico, o cuando el número de objetos de su bucket aumente o disminuya a un número específico. Para obtener más información, consulte Creación de alarmas de métricas de buckets.

Uso de AWS CloudTrail

AWS CloudTrail proporciona un registro de las medidas adoptadas por un usuario, un rol o un servicio de AWS en Lightsail. La información recopilada por CloudTrail le permite determinar la solicitud que se realizó a Lightsail, la dirección IP desde la que se hizo la solicitud, quién hizo la solicitud, cuándo se hizo y otros detalles adicionales. Por ejemplo, puede identificar entradas de CloudTrail para acciones que afecten al acceso a los datos, concretamente CreateBucketAccessKey, GetBucketAccessKeys, DeleteBucketAccessKey, SetResourceAccessForBucket y UpdateBucket. Cuando configura la cuenta de AWS, CloudTrail se habilita de forma predeterminada. Puede ver los eventos recientes en la consola de CloudTrail. Para crear un registro continuo de actividad y eventos para los buckets de Lightsail puede crear un seguimiento en la consola de CloudTrail. Para obtener más información, consulte Registro de eventos de datos para seguimiento en la Guía del usuario de AWS CloudTrail.

Monitoreo de los avisos de seguridad de AWS

Supervise de forma activa la dirección principal de correo electrónico en la cuenta de AWS. AWS contactará con usted, a través de esta dirección de correo electrónico, para informarle sobre los problemas de seguridad que surjan y que pudieran afectarle.

Los problemas operativos de AWS con gran alcance se publican en AWS Service Health Dashboard. Los problemas operativos también se publican en las cuentas individuales a través del Personal Health Dashboard. Para obtener más información, consulte la Documentación de AWS Health.