Révision de l'accès aux compartiments à l'aide IAM d'Access Analyzer pour S3 - Amazon Simple Storage Service
Quelles sont les informations fournies par IAM Access Analyzer pour S3 ?Activation de IAM l'analyseur d'accès pour S3Blocage de tous les accès publicsVérification et modification de l'accès à un compartimentArchivage des résultats de compartimentActivation d'un résultat de compartiment archivéAffichage des détails de résultatsTéléchargement d'un IAM rapport Access Analyzer pour S3

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Révision de l'accès aux compartiments à l'aide IAM d'Access Analyzer pour S3

IAMAccess Analyzer for S3 vous avertit de la présence de compartiments S3 configurés pour autoriser l'accès à toute personne sur Internet ou autre Comptes AWS, y compris Comptes AWS en dehors de votre organisation. Pour chaque compartiment public ou partagé, vous recevez des résultats portant sur la source et le niveau des accès public ou partagé. Par exemple, IAM Access Analyzer for S3 peut indiquer qu'un compartiment dispose d'un accès en lecture ou en écriture fourni par le biais d'une liste de contrôle d'accès aux compartiments (ACL), d'une politique de compartiment, d'une politique de point d'accès multirégional ou d'une politique de point d'accès. Grâce à ces résultats, vous pouvez prendre des mesures correctives immédiates et précises pour rétablir l'accès à votre compartiment comme vous l'aviez prévu.

Lorsque vous examinez un compartiment à risque dans IAM Access Analyzer for S3, vous pouvez bloquer tout accès public au compartiment en un seul clic. Nous vous recommandons de bloquer tous les accès à vos compartiments, sauf si vous avez besoin d'un accès public pour prendre en charge un cas d'utilisation spécifique. Avant de bloquer tout accès public, assurez-vous que vos applications continueront à fonctionner correctement sans accès public. Pour plus d’informations, consultez Blocage de l'accès public à votre stockage Amazon S3.

Vous pouvez également aller plus loin en configurant des niveaux d'accès précis dans les paramètres des niveaux d'autorisation des compartiments. Pour des cas d'utilisation spécifiques et vérifiés nécessitant un accès public, tels que l'hébergement statique de site web, les téléchargements publics ou le partage entre comptes, vous pouvez confirmer et enregistrer votre intention pour que le compartiment reste public ou partagé en archivant les résultats du compartiment. Vous pouvez revisiter et modifier ces configurations de compartiments à tout moment. Vous pouvez également télécharger vos résultats sous forme de CSV rapport à des fins d'audit.

IAMAccess Analyzer for S3 est disponible sans frais supplémentaires sur la console Amazon S3. IAMAccess Analyzer pour S3 est alimenté par AWS Identity and Access Management (IAM) IAM Access Analyzer. Pour utiliser IAM Access Analyzer for S3 dans la console Amazon S3, vous devez visiter la IAM console et activer IAM Access Analyzer par région.

Pour plus d'informations sur IAM Access Analyzer, voir Qu'est-ce qu'IAMAccess Analyzer ? dans le guide de IAM l'utilisateur. Pour plus d'informations sur IAM Access Analyzer pour S3, consultez les sections suivantes.

Important

  • IAMAccess Analyzer for S3 nécessite un analyseur au niveau du compte. Pour utiliser IAM Access Analyzer pour S3, vous devez visiter IAM Access Analyzer et créer un analyseur doté d'un compte comme zone de confiance. Pour plus d'informations, consultez la section Activation de IAM l'analyseur d'accès dans le guide de IAM l'utilisateur.

  • IAMAccess Analyzer for S3 n'analyse pas la politique de point d'accès attachée aux points d'accès multicomptes. Ce comportement se produit parce que le point d'accès et sa politique sont en dehors de la zone de confiance, c'est-à-dire du compte. Les compartiments qui délèguent l'accès à un point d'accès intercompte sont répertoriés sous Buckets with public access (Compartiments avec accès public) si vous n'avez pas appliqué le paramètre de blocage de l'accès public RestrictPublicBuckets au compartiment ou au compte. Lorsque vous appliquez le paramètre de RestrictPublicBuckets blocage de l'accès public, le compartiment est indiqué sous Compartiments accessibles par d'autres Comptes AWS personnes, y compris par des tiers Comptes AWS.

  • Lorsqu'une politique ou un compartiment ACL est ajouté ou modifié, IAM Access Analyzer génère et met à jour les résultats en fonction de la modification dans les 30 minutes. Il peut s'écouler jusqu'à six heures avant que les résultats relatifs aux paramètres de blocage de l'accès public au niveau du compte ne soient générés ou mis à jour après la modification des paramètres. Les résultats relatifs aux points d'accès multi-régions ne peuvent pas être générés ou mis à jour pendant six heures au maximum après la création, la suppression d'un point d'accès multi-régions ou la modification de sa politique.

Quelles sont les informations fournies par IAM Access Analyzer pour S3 ?

IAMAccess Analyzer for S3 fournit des résultats pour les buckets accessibles en dehors de votre. Compte AWS Les compartiments répertoriés sous Compartiments avec accès public sont accessibles par n'importe quel utilisateur d'Internet. Si IAM Access Analyzer for S3 identifie des compartiments publics, un avertissement s'affiche également en haut de la page qui indique le nombre de compartiments publics dans votre région. Les compartiments répertoriés sous Compartiments accessibles depuis des tiers, y compris des tiers, Comptes AWS sont partagés conditionnellement avec d'autres personnes Comptes AWS, y compris des comptes extérieurs à votre organisation. Comptes AWS

Pour chaque compartiment, IAM Access Analyzer for S3 fournit les informations suivantes :

  • Nom du compartiment

  • Découvert par Access Analyzer ‐ Quand IAM Access Analyzer for S3 a découvert l'accès public ou partagé au compartiment.

  • Partagé via ‐ Comment le compartiment est partagé : via une politique de compartiment, une politique de compartiment, une politique de point d'accès multirégional ou une politique de point d'accès. ACL Les points d'accès multi-régions et les points d'accès intercompte figurent sous la rubrique points d'accès. Un bucket peut être partagé à la fois par le biais de politiques et deACLs. Si vous souhaitez rechercher et examiner la source de votre accès au compartiment, vous pouvez utiliser les informations de cette colonne comme point de départ pour prendre des mesures correctives immédiates et précises.

  • Status (Statut) – Statut du résultat de compartiment. IAMAccess Analyzer for S3 affiche les résultats pour tous les buckets publics et partagés.

    • Active (Actif) – Le résultat n'a pas été vérifié.

    • Archived (Archivé) – Le résultat a été vérifié et confirmé comme prévu.

    • Tous ‐ Tous les résultats relatifs à des buckets publics ou partagés avec d'autres personnes Comptes AWS, y compris Comptes AWS en dehors de votre organisation.

  • Access level (Niveau d'accès) – Autorisations d'accès accordées pour le compartiment :

    • List (Liste) – Répertorier les ressources.

    • Read (Lecture) – Lire mais ne pas modifier les contenus et attributs de ressources.

    • Write (Écriture) – Créer, supprimer ou modifier des ressources.

    • Permissions (Autorisations) – Accorder ou modifier des autorisations de ressources.

    • Tagging (Balisage) – Mettre à jour les balises associées à la ressource.

Activation de IAM l'analyseur d'accès pour S3

Pour utiliser IAM Access Analyzer pour S3, vous devez suivre les étapes préalables suivantes.

  1. Accordez les autorisations requises.

    Pour plus d'informations, consultez la section Autorisations requises pour utiliser IAM Access Analyzer dans le guide de l'IAMutilisateur.

  2. Visitez IAM pour créer un analyseur au niveau du compte pour chaque région dans laquelle vous souhaitez utiliser IAM Access Analyzer.

    IAMAccess Analyzer for S3 nécessite un analyseur au niveau du compte. Pour utiliser IAM Access Analyzer pour S3, vous devez créer un analyseur doté d'un compte comme zone de confiance. Pour plus d'informations, consultez la section Activation de IAM l'analyseur d'accès dans le guide de IAM l'utilisateur.

Blocage de tous les accès publics

Si vous souhaitez bloquer tout accès à un bucket en un seul clic, vous pouvez utiliser le bouton Bloquer tout accès public dans IAM Access Analyzer for S3. Lorsque vous bloquez tout accès public à un compartiment, aucun accès public n'est accordé. Nous vous recommandons de bloquer tous les accès publics à vos compartiments, sauf si vous avez besoin d'un accès public pour prendre en charge un cas d'utilisation spécifique et vérifié. Avant de bloquer tout accès public, assurez-vous que vos applications continueront à fonctionner correctement sans accès public.

Si vous ne souhaitez pas bloquer tous les accès publics à votre compartiment, vous pouvez modifier vos paramètres de blocage de l'accès public dans la console Amazon S3 pour configurer des niveaux d'accès précis à vos compartiments. Pour de plus amples informations, veuillez consulter Blocage de l'accès public à votre stockage Amazon S3.

Dans de rares cas, IAM Access Analyzer for S3 peut ne pas signaler de résultats concernant un compartiment considéré comme public par une évaluation d'un blocage de l'accès public par Amazon S3. Cela se produit parce que le blocage de l'accès public Amazon S3 examine les stratégies pour les actions en cours et les actions potentielles qui pourraient être ajoutées à l'avenir, ce qui rend un compartiment public. D'autre part, IAM Access Analyzer for S3 analyse uniquement les actions en cours spécifiées pour le service Amazon S3 lors de l'évaluation du statut d'accès.

Pour bloquer tout accès public à un bucket à l'aide d'IAMAccess Analyzer pour S3

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation de gauche, sous Dashboards (Tableaux de bord), choisissez Access Analyzer for S3 (Analyseur d'accès pour S3).

  3. Dans IAM Access Analyzer pour S3, choisissez un compartiment.

  4. Choisissez Block all public access (Bloquer tous les accès publics).

  5. Pour confirmer votre intention de bloquer tout accès public au compartiment, dans Block all public access (bucket settings) (Bloquer tout accès public (paramètres du compartiment)), entrez confirm.

    Amazon S3 bloque tout accès public à votre compartiment. L'état du bucket trouvant un bucket passe à « résolu », et le bucket disparaît de la liste IAM Access Analyzer for S3. Si vous souhaitez consulter les buckets résolus, ouvrez IAM Access Analyzer sur la IAM console.

Vérification et modification de l'accès à un compartiment

Si vous n'aviez pas l'intention d'accorder l'accès au public ou à d'autres Comptes AWS personnes, y compris à des comptes extérieurs à votre organisation, vous pouvez modifier le compartimentACL, la politique de compartiment, la politique de point d'accès multirégional ou la politique de point d'accès pour supprimer l'accès au compartiment. La colonne Shared through indique toutes les sources d'accès au compartiment : politique du compartiment, politique du compartiment ACL et/ou politique du point d'accès. Les points d'accès multi-régions et les points d'accès intercompte figurent sous la rubrique points d'accès.

Pour consulter et modifier une politique de compartiment, un compartimentACL, un point d'accès multirégional ou une politique de point d'accès

  1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Access Analyzer for S3 (Analyseur d'accès pour S3).

  3. Pour savoir si l'accès public ou partagé est accordé par le biais d'une politique de bucket, d'un bucketACL, d'une politique de point d'accès multirégional ou d'une politique de point d'accès, consultez la colonne Shared through.

  4. Sous Buckets, choisissez le nom du bucket contenant la politique de bucket, le bucketACL, la politique de point d'accès multirégional ou la politique de point d'accès que vous souhaitez modifier ou revoir.

  5. Si vous souhaitez modifier ou consulter un bucket ACL :

    1. Choisissez Permissions.

    2. Choisissez Access Control List.

    3. Passez en revue votre compartiment ACL et apportez les modifications nécessaires.

      Pour de plus amples informations, veuillez consulter Configuration ACLs.

  6. Si vous souhaitez modifier ou vérifier une politique de compartiment :

    1. Choisissez Permissions.

    2. Choisissez Stratégie de compartiment.

    3. Vérifiez ou modifiez votre politique de compartiment selon vos besoins.

      Pour plus d’informations, consultez Ajout d'une stratégie de compartiment à l'aide de la console Amazon S3.

  7. Si vous souhaitez consulter ou modifier une politique de point d'accès :

    1. ChoisissezPoint d'accès multi-Régions.

    2. Choisissez le nom du point d'accès multi-Régions.

    3. Vérifiez ou modifiez votre politique de point d'accès multi-Régions selon vos besoins.

      Pour plus d’informations, consultez Autorisations.

  8. Si vous souhaitez consulter ou modifier une politique de point d'accès :

    1. Choisissez Access Points (Points d'accès).

    2. Choisissez le nom du point d'accès.

    3. Vérifiez ou modifiez l'accès en fonction de vos besoins.

      Pour de plus amples informations, veuillez consulter Utilisation des points d'accès Amazon S3 dans la console Amazon S3.

    Si vous modifiez ou supprimez un bucketACL, une politique de bucket ou une politique de point d'accès pour supprimer l'accès public ou partagé, le statut des résultats du bucket passe à « résolu ». Les résultats du bucket résolus disparaissent de la liste IAM Access Analyzer pour S3, mais vous pouvez les consulter dans IAM Access Analyzer.

Archivage des résultats de compartiment

Si un bucket accorde l'accès au public ou à d'autres personnes Comptes AWS, y compris à des comptes extérieurs à votre organisation, pour prendre en charge un cas d'utilisation spécifique (par exemple, un site Web statique, des téléchargements publics ou le partage entre comptes), vous pouvez archiver les résultats du bucket. Lorsque vous archivez les résultats d'un compartiment, vous confirmez et enregistrez votre intention de le garder public ou partagé. Les résultats des buckets archivés restent dans votre liste IAM Access Analyzer for S3 afin que vous sachiez toujours quels compartiments sont publics ou partagés.

Pour archiver les résultats du bucket dans IAM Access Analyzer pour S3

  1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Access Analyzer for S3 (Analyseur d'accès pour S3).

  3. Dans IAM Access Analyzer pour S3, choisissez un compartiment actif.

  4. Pour confirmer votre intention de rendre ce compartiment accessible au public ou à d'autres personnes Comptes AWS, y compris à des comptes extérieurs à votre organisation, choisissez Archiver.

  5. Entrez confirm, puis choisissez Archive (Archiver).

Activation d'un résultat de compartiment archivé

Après avoir archivé des résultats, vous pouvez toujours les revoir et faire passer leur statut à « actif », ce qui indique que le compartiment nécessite une autre vérification.

Pour activer la recherche d'un compartiment archivé dans IAM Access Analyzer pour S3

  1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Access Analyzer for S3 (Analyseur d'accès pour S3).

  3. Choisissez les résultats de compartiment archivés.

  4. Choisissez Mark as active (Marquer comme actif).

Affichage des détails de résultats

Si vous avez besoin de plus d'informations sur un bucket, vous pouvez ouvrir les informations relatives à la recherche du bucket dans IAM Access Analyzer sur la IAMconsole.

Pour afficher les détails des recherches dans IAM Access Analyzer pour S3

  1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Access Analyzer for S3 (Analyseur d'accès pour S3).

  3. Dans IAM Access Analyzer pour S3, choisissez un compartiment.

  4. Sélectionnez Afficher les détails.

    Les détails de la recherche s'affichent dans IAM Access Analyzer sur la IAMconsole.

Téléchargement d'un IAM rapport Access Analyzer pour S3

Vous pouvez télécharger les résultats de votre bucket sous forme de CSV rapport que vous pouvez utiliser à des fins d'audit. Le rapport inclut les mêmes informations que celles que vous voyez dans IAM Access Analyzer pour S3 sur la console Amazon S3.

Pour télécharger un rapport

  1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation de gauche, choisissez Access Analyzer for S3 (Analyseur d'accès pour S3).

  3. Dans le filtre de Région, sélectionnez la Région.

    IAMAccess Analyzer for S3 se met à jour pour afficher les compartiments correspondant à la région choisie.

  4. Choisissez Download report (Télécharger le rapport).

    Un CSV rapport est généré et enregistré sur votre ordinateur.