Melindungi data dalam perjalanan dengan enkripsi - Amazon Simple Storage Service
TLS 1.2 dan TLS 1.3 SupportMemantau penggunaan TLSMemberlakukan enkripsi dalam transit

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Melindungi data dalam perjalanan dengan enkripsi

Amazon S3 mendukung protokol HTTP dan HTTPS untuk transmisi data. HTTP mentransmisikan data dalam teks biasa, sementara HTTPS menambahkan lapisan keamanan dengan mengenkripsi data menggunakan Transport Layer Security (TLS). TLS melindungi dari penyadapan, gangguan data, dan serangan. man-in-the-middle Sementara lalu lintas HTTP diterima, sebagian besar implementasi menggunakan enkripsi dalam perjalanan dengan HTTPS dan TLS untuk melindungi data saat bergerak antara klien dan Amazon S3.

TLS 1.2 dan TLS 1.3 Support

Amazon S3 mendukung TLS 1.2 dan TLS 1.3 untuk koneksi HTTPS di semua titik akhir API untuk semua. Wilayah AWS S3 secara otomatis menegosiasikan perlindungan TLS terkuat yang didukung oleh perangkat lunak klien Anda, dan titik akhir S3 yang Anda akses. AWS Alat saat ini (2014 atau yang lebih baru) termasuk AWS SDKs dan AWS CLI secara otomatis default ke TLS 1.3 tanpa tindakan yang diperlukan di pihak Anda. Anda dapat mengganti negosiasi otomatis ini melalui pengaturan konfigurasi klien untuk menentukan versi TLS tertentu jika kompatibilitas mundur ke TLS 1.2 diperlukan. Saat menggunakan TLS 1.3, Anda dapat secara opsional mengonfigurasi pertukaran kunci kuantum pasca hibrida (ML-KEM) untuk membuat permintaan tahan kuantum ke Amazon S3. Untuk informasi selengkapnya, lihat Mengkonfigurasi TLS pasca-kuantum hibrida untuk klien Anda.

catatan

TLS 1.3 didukung di semua titik akhir S3, kecuali untuk Amazon AWS PrivateLink S3 dan Titik Akses Multi-Wilayah.

Memantau penggunaan TLS

Anda dapat menggunakan log akses server Amazon S3 atau AWS CloudTrail untuk memantau permintaan ke bucket Amazon S3. Kedua opsi logging merekam versi TLS dan cipher suite yang digunakan dalam setiap permintaan.

  • Log akses server Amazon S3 — Pencatatan akses server menyediakan catatan terperinci untuk permintaan yang dibuat ke bucket. Misalnya, informasi log akses dapat berguna dalam audit keamanan dan akses. Untuk informasi selengkapnya, lihat Server Amazon S3 mengakses format log.

  • AWS CloudTrailAWS CloudTrailadalah layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan. CloudTrail menangkap semua panggilan API untuk Amazon S3 sebagai peristiwa. Untuk informasi selengkapnya, lihat Acara Amazon S3 CloudTrail .

Memberlakukan enkripsi dalam transit

Ini adalah praktik terbaik keamanan untuk menegakkan enkripsi data dalam perjalanan ke Amazon S3. Anda dapat menerapkan komunikasi khusus HTTP atau penggunaan versi TLS tertentu melalui berbagai mekanisme kebijakan. Ini termasuk kebijakan berbasis sumber daya IAM untuk bucket S3 (kebijakan bucket), Kebijakan Kontrol Layanan (), KebijakanKontrolSumber Daya (SCPs), dan kebijakan titik akhir VPC. RCPs

Contoh kebijakan bucket untuk menegakkan enkripsi saat transit

Anda dapat menggunakan kunci kondisi S3 s3:TlsVersion untuk membatasi akses ke bucket Amazon S3 berdasarkan versi TLS yang digunakan oleh klien. Untuk informasi selengkapnya, lihat Contoh 6: Membutuhkan versi TLS minimum.

contoh kebijakan bucket yang memberlakukan TLS 1.3 menggunakan kunci kondisi S3:TlsVersion
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyInsecureConnections",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket1",
        "arn:aws:s3:::amzn-s3-demo-bucket1/*"
      ],
      "Condition": {
        "NumericLessThan": {
          "s3:TlsVersion": "1.3"
        }
      }
    }
  ]
}

Anda dapat menggunakan kunci kondisi aws:SecureTransport global dalam kebijakan bucket S3 untuk memeriksa apakah permintaan dikirim melalui HTTPS (TLS). Berbeda dengan contoh sebelumnya, kondisi ini tidak memeriksa versi TLS tertentu. Untuk informasi selengkapnya, lihat Batasi Akses Hanya ke Permintaan HTTPS.

contoh kebijakan bucket yang menerapkan HTTPS menggunakan kunci kondisi aws:SecureTransport global
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
     {
        "Sid": "RestrictToTLSRequestsOnly",		 	 	 
        "Action": "s3:*",
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1",
            "arn:aws:s3:::amzn-s3-demo-bucket1/*"
        ],
        "Condition": {
            "Bool": {
                "aws:SecureTransport": "false"
            }
        },
        "Principal": "*"
    }
  ]
}
Contoh kebijakan berdasarkan kedua kunci dan lebih banyak contoh

Anda dapat menggunakan kedua jenis kunci kondisi dalam contoh sebelumnya dalam satu kebijakan. Untuk informasi selengkapnya dan pendekatan penegakan hukum tambahan, lihat artikel Blog AWS Penyimpanan Menerapkan enkripsi saat transit TLS1 dengan.2 atau lebih tinggi dengan Amazon S3.