Corriger un compartiment S3 potentiellement compromis - Amazon GuardDuty
Recommandations basées sur les besoins spécifiques d'accès aux compartiments S3

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Corriger un compartiment S3 potentiellement compromis

Lorsqu'il est GuardDuty généréGuardDuty Types de détection de S3 Protection, cela indique que vos compartiments Amazon S3 ont été compromis. Si le comportement à l'origine de la découverte était attendu dans votre environnement, envisagez de le créerRègles de suppression. Si ce comportement n'était pas prévu, suivez ces étapes recommandées pour remédier à un compartiment Amazon S3 potentiellement compromis dans votre AWS environnement :

  1. Identifiez la ressource S3 potentiellement compromise.

    Une GuardDuty recherche pour S3 indiquera le compartiment S3 associé, son Amazon Resource Name (ARN) et son propriétaire dans les détails de la recherche.

  2. Identifiez la source de l'activité suspecte et l'appel d'API utilisé.

    L'appel d'API utilisé est répertorié en tant qu'API dans les détails d'un résultat. La source sera un principal IAM (rôle IAM, utilisateur ou compte) et les informations d'identification seront répertoriées dans le résultat. Selon le type de source, l'adresse IP distante ou les informations sur le domaine source seront disponibles et peuvent vous aider à déterminer si la source était autorisée. Si la recherche impliquait des informations d'identification provenant d'une EC2 instance Amazon, les détails de cette ressource seront également inclus.

  3. Déterminez si la source de l'appel était autorisée à accéder à la ressource identifiée.

    Prenons l'exemple suivant :

    • Si un utilisateur IAM était impliqué, est-il possible que ses informations d'identification aient été potentiellement compromises ? Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.

    • Si une API a été invoquée par un principal qui n'a jamais invoqué ce type d'API, cette source a-t-elle besoin d'autorisations d'accès pour cette opération ? Les autorisations du compartiment peuvent-elles être davantage restreintes ?

    • Si l'accès a été détecté à partir du nom d'utilisateur ANONYMOUS_PRINCIPAL avec le type d'utilisateur de AWSAccount, cela indique que le compartiment est public et qu'il a été consulté. Ce compartiment doit-il être public ? Si ce n'est pas le cas, veuillez consulter les recommandations de sécurité ci-dessous pour découvrir des solutions alternatives au partage des ressources S3.

    • Si l'accès a eu lieu par le biais d'un appel PreflightRequest réussi constaté à partir du nom d'utilisateur ANONYMOUS_PRINCIPAL avec le type d'utilisateur AWSAccount, cela indique que le compartiment dispose d'une stratégie de partage des ressources entre origines multiples (CORS) définie. Ce compartiment doit-il être doté d'une stratégie CORS ? Dans le cas contraire, assurez-vous que le compartiment n'a pas été rendu public par inadvertance et veuillez consulter les recommandations de sécurité ci-dessous pour trouver des solutions alternatives au partage des ressources S3. Pour plus d'informations sur CORS, veuillez consulter la section Utilisation du partage des ressources entre origines multiples (CORS) du Guide de l'utilisateur S3.

  4. Déterminez si le compartiment S3 contient des données sensibles.

    Utilisez Amazon Macie pour déterminer si le compartiment S3 contient des données sensibles, telles que des données d'identification personnelle (PII), des données financières ou des informations d'identification. Si la découverte automatique des données sensibles est activée pour votre compte Macie, examinez les détails du compartiment S3 pour mieux comprendre son contenu. Si cette fonctionnalité est désactivée pour votre compte Macie, nous vous recommandons de l'activer pour accélérer votre évaluation. Vous pouvez également créer et exécuter une tâche de découverte de données sensibles pour inspecter les objets du compartiment S3 afin de détecter des données sensibles. Pour plus d'informations, veuillez consulter Découverte de données sensibles avec Macie (langue française non garantie).

Si l'accès a été autorisé, vous pouvez ignorer le résultat. La https://console.aws.amazon.com/guardduty/console vous permet de configurer des règles pour supprimer complètement les résultats individuels afin qu'ils n'apparaissent plus. Pour de plus amples informations, veuillez consulter Règles de suppression dans GuardDuty.

Si vous déterminez que vos données S3 ont été exposées ou consultées par un tiers non autorisé, consultez les recommandations de sécurité S3 suivantes afin de renforcer les autorisations et de restreindre l'accès. Les solutions de correction appropriées dépendent des besoins de votre environnement spécifique.

Recommandations basées sur les besoins spécifiques d'accès aux compartiments S3

La liste suivante fournit des recommandations basées sur les besoins spécifiques d'accès aux compartiments Amazon S3 :

  • Pour limiter de manière centralisée l'accès public à l'utilisation de vos données S3, S3 bloque l'accès public. Les paramètres de blocage de l'accès public peuvent être activés pour les points d'accès, les compartiments et les AWS comptes via quatre paramètres différents afin de contrôler la granularité de l'accès. Pour plus d'informations, consultez la section Bloquer les paramètres d'accès public dans le guide de l'utilisateur Amazon S3.

  • AWS Les politiques d'accès peuvent être utilisées pour contrôler la manière dont les utilisateurs IAM peuvent accéder à vos ressources ou à vos buckets. Pour plus d'informations, consultez la section Utilisation des politiques relatives aux compartiments et des politiques utilisateur dans le guide de l'utilisateur Amazon S3.

    Vous pouvez également utiliser des points de terminaison de cloud privé virtuel (VPC) avec des stratégies de compartiment S3 pour restreindre l'accès à des points de terminaison d'un VPC spécifiques. Pour plus d'informations, consultez la section Contrôle de l'accès depuis les points de terminaison VPC à l'aide de politiques de compartiment dans le guide de l'utilisateur Amazon S3.

  • Pour autoriser temporairement l'accès à vos objets S3 à des entités approuvées extérieures à votre compte, vous pouvez créer une URL présignée via S3. Cet accès est créé à l'aide des informations d'identification de votre compte et, selon les informations d'identification utilisées, peut durer de 6 heures à 7 jours. Pour plus d'informations, consultez la section Utilisation de la signature présignée URLs pour télécharger et charger des objets dans le guide de l'utilisateur Amazon S3.

  • Pour les cas d'utilisation nécessitant le partage d'objets S3 entre différentes sources, vous pouvez utiliser les points d'accès S3 pour créer des ensembles d'autorisations qui limitent l'accès aux seuls utilisateurs de votre réseau privé. Pour plus d'informations, consultez la section Gestion de l'accès aux ensembles de données partagés avec des points d'accès dans le guide de l'utilisateur Amazon S3.

  • Pour accorder l'accès sécurisé à vos ressources S3 à d'autres AWS comptes, vous pouvez utiliser une liste de contrôle d'accès (ACL). Pour plus d'informations, consultez la présentation de la liste de contrôle d'accès (ACL) dans le guide de l'utilisateur Amazon S3.

Pour plus d'informations sur les options de sécurité S3, consultez les meilleures pratiques de sécurité pour Amazon S3 dans le guide de l'utilisateur Amazon S3.