Meninjau akses bucket menggunakan IAM Access Analyzer untuk S3 - Amazon Simple Storage Service
Informasi apa yang disediakan IAM Access Analyzer untuk S3?Mengaktifkan IAM Access Analyzer untuk S3Memblokir semua akses publikMeninjau dan mengubah akses bucketMengarsipkan temuan bucketMengaktifkan temuan bucket yang diarsipkanMelihat detail temuanMengunduh IAM Access Analyzer untuk laporan S3

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Meninjau akses bucket menggunakan IAM Access Analyzer untuk S3

IAMAccess Analyzer for S3 memberi tahu Anda tentang bucket S3 yang dikonfigurasi untuk memungkinkan akses ke siapa pun di internet atau lainnya Akun AWS, termasuk Akun AWS di luar organisasi Anda. Untuk setiap bucket publik atau kelompok bersama, Anda menerima temuan ke dalam sumber dan tingkat akses publik atau bersama. Misalnya, IAM Access Analyzer untuk S3 mungkin menunjukkan bahwa bucket memiliki akses baca atau tulis yang disediakan melalui bucket access control list (ACL), kebijakan bucket, kebijakan Titik Akses Multi-Wilayah, atau kebijakan jalur akses. Dengan temuan ini, Anda dapat segera mengambil tindakan korektif yang tepat untuk memulihkan akses bucket ke apa yang Anda inginkan.

Saat meninjau bucket berisiko di IAM Access Analyzer for S3, Anda dapat memblokir semua akses publik ke bucket dengan satu klik. Kami menyarankan agar Anda memblokir semua akses ke bucket Anda, kecuali jika Anda memerlukan akses publik untuk mendukung kasus penggunaan tertentu. Sebelum memblokir semua akses publik, pastikan bahwa aplikasi Anda akan terus berfungsi dengan benar tanpa akses publik. Untuk informasi selengkapnya, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda.

Anda juga dapat menelusuri pengaturan izin tingkat bucket untuk mengonfigurasi tingkat akses granular. Untuk kasus penggunaan kustom dan terverifikasi yang memerlukan akses publik, seperti hosting situs web statis, unduhan publik, atau berbagi akun silang, Anda dapat mengenali dan mencatat maksud Anda agar bucket tetap publik atau berbagi dengan mengarsipkan temuan untuk bucket. Anda dapat mempertahankan dan memodifikasi konfigurasi bucket ini kapan saja. Anda juga dapat mengunduh temuan Anda sebagai CSV laporan untuk tujuan audit.

IAMAccess Analyzer untuk S3 tersedia tanpa biaya tambahan di konsol Amazon S3. IAMAccess Analyzer untuk S3 didukung oleh AWS Identity and Access Management (IAM) IAM Access Analyzer. Untuk menggunakan IAM Access Analyzer untuk S3 di konsol Amazon S3, Anda harus mengunjungi konsol dan IAM mengaktifkan Access Analyzer IAM pada basis Per-wilayah.

Untuk informasi selengkapnya tentang IAM Access Analyzer, lihat Apa itu IAM Access Analyzer? dalam IAMUser Guide. Untuk informasi selengkapnya tentang IAM Access Analyzer untuk S3, tinjau bagian berikut.

penting

  • IAMAccess Analyzer untuk S3 memerlukan penganalisis tingkat akun. Untuk menggunakan IAM Access Analyzer untuk S3, Anda harus mengunjungi IAM Access Analyzer dan membuat analyzer yang memiliki akun sebagai zona kepercayaan. Untuk informasi selengkapnya, lihat Mengaktifkan IAM Access Analyzer di IAMPanduan Pengguna.

  • IAMAccess Analyzer untuk S3 tidak menganalisis kebijakan titik akses yang dilampirkan ke titik akses lintas akun. Perilaku ini terjadi karena titik akses dan kebijakannya berada di luar zona kepercayaan, yaitu akun. Bucket yang mendelegasikan akses ke titik akses lintas akun tercantum di bawah Bucket dengan akses publik jika Anda belum menerapkan pengaturan blokir akses publik RestrictPublicBuckets ke bucket atau akun. Saat Anda menerapkan setelan RestrictPublicBuckets blokir akses publik, bucket dilaporkan di bawah Bucket dengan akses dari orang lain Akun AWS — termasuk pihak ketiga Akun AWS.

  • Saat kebijakan bucket atau bucket ACL ditambahkan atau dimodifikasi, IAM Access Analyzer akan menghasilkan dan memperbarui temuan berdasarkan perubahan dalam waktu 30 menit. Temuan terkait dengan pengaturan akses publik blok tingkat akun tidak dapat dibuat atau diperbarui hingga 6 jam setelah Anda mengubah pengaturan. Temuan yang terkait dengan Titik Akses Multi-Wilayah mungkin tidak dibuat atau diperbarui hingga enam jam setelah Titik Akses Multi-Wilayah dibuat, dihapus, atau Anda mengubah kebijakannya.

Informasi apa yang disediakan IAM Access Analyzer untuk S3?

IAMAccess Analyzer untuk S3 memberikan temuan untuk bucket yang dapat diakses di luar Anda. Akun AWS Bucket yang terdaftar Bucket dengan akses publik dapat diakses oleh siapa pun di internet. Jika IAM Access Analyzer untuk S3 mengidentifikasi bucket publik, Anda juga melihat peringatan di bagian atas halaman yang menunjukkan jumlah bucket publik di Wilayah Anda. Bucket yang terdaftar di bawah Bucket dengan akses dari orang lain Akun AWS — termasuk pihak ketiga Akun AWS dibagikan secara kondisional dengan orang lain Akun AWS, termasuk akun di luar organisasi Anda.

Untuk setiap bucket, IAM Access Analyzer untuk S3 memberikan informasi berikut:

  • Nama Bucket

  • Ditemukan oleh Access analyzer - Ketika IAM Access Analyzer untuk S3 menemukan akses bucket publik atau bersama.

  • Dibagikan melalui - Cara bucket dibagikan—melalui kebijakan bucket, bucketACL, kebijakan Titik Akses Multi-Wilayah, atau kebijakan jalur akses. Titik Akses Multi-Wilayah dan titik akses lintas akun ditampilkan di bawah titik akses. Bucket dapat dibagikan melalui kebijakan danACLs. Jika ingin menemukan dan meninjau sumber untuk akses bucket Anda, Anda dapat menggunakan informasi dalam kolom ini sebagai titik awal untuk mengambil tindakan korektif yang cepat dan tepat.

  • Status ‐ Status temuan bucket. IAMAccess Analyzer untuk S3 menampilkan temuan untuk semua bucket publik dan bersama.

    • Aktif ‐ Temuan belum ditinjau.

    • Diarsipkan ‐ Temuan telah ditinjau dan dikonfirmasi sesuai tujuan.

    • Semua - Semua temuan untuk ember yang bersifat publik atau dibagikan dengan orang lain Akun AWS, termasuk Akun AWS di luar organisasi Anda.

  • Tingkat akses ‐ Izin akses diberikan untuk bucket:

    • Daftar ‐ Cantumkan sumber daya.

    • Baca ‐ Membaca, tetapi tidak mengedit konten dan atribut sumber daya.

    • Tulis ‐ Membuat, menghapus, atau memodifikasi sumber daya.

    • Izin ‐ Berikan atau ubah izin sumber daya.

    • Penandaan ‐ Perbarui tag yang terkait dengan sumber daya.

Mengaktifkan IAM Access Analyzer untuk S3

Untuk menggunakan IAM Access Analyzer untuk S3, Anda harus menyelesaikan langkah-langkah prasyarat berikut.

  1. Berikan izin yang diperlukan.

    Untuk informasi selengkapnya, lihat Izin yang Diperlukan untuk menggunakan IAM Access Analyzer di IAMPanduan Pengguna.

  2. Kunjungi IAM untuk membuat penganalisis tingkat akun untuk setiap Wilayah tempat Anda ingin menggunakan IAM Access Analyzer.

    IAMAccess Analyzer untuk S3 memerlukan penganalisis tingkat akun. Untuk menggunakan IAM Access Analyzer untuk S3, Anda harus membuat analyzer yang memiliki akun sebagai zona kepercayaan. Untuk informasi selengkapnya, lihat Mengaktifkan IAM Access Analyzer di IAMPanduan Pengguna.

Memblokir semua akses publik

Jika Anda ingin memblokir semua akses ke bucket dalam satu klik, Anda dapat menggunakan tombol Blokir semua akses publik di IAM Access Analyzer for S3. Ketika Anda memblokir semua akses publik ke bucket, akses publik tidak diberikan. Kami menyarankan agar Anda memblokir semua akses publik ke bucket Anda kecuali jika Anda memerlukan akses publik untuk mendukung kasus penggunaan tertentu yang terverifikasi. Sebelum memblokir semua akses publik, pastikan bahwa aplikasi Anda akan terus berfungsi dengan benar tanpa akses publik.

Jika tidak ingin memblokir semua akses publik ke bucket Anda, Anda dapat mengedit pengaturan akses publik blok di konsol Amazon S3 untuk mengonfigurasi tingkat akses granular ke bucket Anda. Untuk informasi selengkapnya, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda.

Dalam kejadian langka, IAM Access Analyzer untuk S3 mungkin tidak melaporkan temuan untuk ember bahwa Amazon S3 memblokir laporan evaluasi akses publik sebagai publik. Hal ini terjadi karena blokir akses publik Amazon S3 meninjau kebijakan-kebijakan untuk tindakan saat ini dan setiap tindakan potensial yang mungkin ditambahkan di masa depan, yang menyebabkan bucket menjadi bersifat publik. Di sisi lain, IAM Access Analyzer untuk S3 hanya menganalisis tindakan saat ini yang ditentukan untuk layanan Amazon S3 dalam evaluasi status akses.

Untuk memblokir semua akses publik ke bucket menggunakan IAM Access Analyzer untuk S3

  1. Masuk ke AWS Management Console dan buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  2. Di panel navigasi di sebelah kiri, di bawah Dasbor, pilih Access analyzer untuk S3.

  3. Di IAM Access Analyzer untuk S3, pilih bucket.

  4. Pilih Blokir semua akses publik.

  5. Untuk mengonfirmasi maksud Anda untuk memblokir semua akses publik ke bucket, di Blokir semua akses publik (pengaturan bucket), masukkan confirm.

    Amazon S3 memblokir semua akses publik ke bucket Anda. Status pembaruan pencarian bucket untuk diselesaikan, dan bucket menghilang dari daftar IAM Access Analyzer untuk S3. Jika Anda ingin meninjau bucket yang diselesaikan, buka IAM Access Analyzer di Konsol. IAM

Meninjau dan mengubah akses bucket

Jika Anda tidak bermaksud memberikan akses ke publik atau lainnya Akun AWS, termasuk akun di luar organisasi, Anda dapat mengubah bucketACL, kebijakan bucket, kebijakan Titik Akses Multi-Wilayah, atau kebijakan jalur akses untuk menghapus akses ke bucket. Kolom Dibagikan melalui menampilkan semua sumber akses bucket: kebijakan bucket, bucketACL, dan/atau kebijakan titik akses. Titik Akses Multi-Wilayah dan titik akses lintas akun ditampilkan di bawah titik akses.

Untuk meninjau dan mengubah kebijakan bucket, bucketACL, Titik Akses Multi-Wilayah, atau kebijakan jalur akses

  1. Buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  2. Di panel navigasi, pilih Access analyzer untuk S3.

  3. Untuk melihat apakah akses publik atau akses bersama diberikan melalui kebijakan bucket, bucketACL, kebijakan Titik Akses Multi-Wilayah, atau kebijakan jalur akses, lihat di kolom Dibagikan melalui.

  4. Di Bucket, pilih nama bucket dengan kebijakan bucket, bucketACL, kebijakan Titik Akses Multi-Wilayah, atau kebijakan titik akses yang ingin diubah atau ditinjau.

  5. Jika Anda ingin mengubah atau melihat emberACL:

    1. Pilih Izin.

    2. Pilih Daftar Kontrol Akses.

    3. Tinjau ember AndaACL, dan buat perubahan sesuai kebutuhan.

      Untuk informasi selengkapnya, lihat Mengkonfigurasi ACLs.

  6. Jika Anda ingin mengubah atau meninjau kebijakan bucket:

    1. Pilih Izin.

    2. Pilih Kebijakan Bucket.

    3. Tinjau atau ubah kebijakan bucket sesuai kebutuhan.

      Untuk informasi selengkapnya, lihat Menambahkan kebijakan bucket dengan menggunakan konsol Amazon S3.

  7. Jika Anda ingin mengubah atau melihat kebijakan Titik Akses Multi-Wilayah:

    1. Pilih Titik Akses Multi-Wilayah.

    2. Pilih nama Titik Akses Multi-Wilayah.

    3. Tinjau atau ubah kebijakan Titik Akses Multi-Wilayah sesuai kebutuhan.

      Untuk informasi selengkapnya, lihat Izin.

  8. Jika Anda ingin meninjau atau mengubah kebijakan titik akses:

    1. Memilih titik akses.

    2. Pilih nama titik akses.

    3. Tinjau atau ubah akses sesuai kebutuhan.

      Untuk informasi selengkapnya, lihat Menggunakan titik akses Amazon S3 dengan konsol Amazon S3.

    Jika Anda mengedit atau menghapus bucketACL, kebijakan bucket, atau kebijakan jalur akses untuk menghapus akses publik atau bersama, status temuan bucket akan diperbarui. Temuan bucket yang diselesaikan menghilang dari daftar IAM Access Analyzer untuk S3, tetapi Anda dapat melihatnya di IAM Access Analyzer.

Mengarsipkan temuan bucket

Jika bucket memberikan akses ke publik atau lainnya Akun AWS, termasuk akun di luar organisasi Anda, untuk mendukung kasus penggunaan tertentu (misalnya, situs web statis, unduhan publik, atau berbagi lintas akun), Anda dapat mengarsipkan temuan untuk bucket. Saat Anda mengarsipkan temuan bucket, Anda menyatakan dan mencatat maksud Anda agar bucket tetap bersifat publik, atau berbagi. Temuan bucket yang diarsipkan tetap ada di IAM Access Analyzer untuk daftar S3 sehingga Anda selalu tahu bucket mana yang bersifat publik atau dibagikan.

Untuk mengarsipkan temuan bucket di IAM Access Analyzer untuk S3

  1. Buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  2. Di panel navigasi, pilih Access analyzer untuk S3.

  3. Di IAM Access Analyzer untuk S3, pilih bucket aktif.

  4. Untuk mengetahui maksud Anda agar bucket ini dapat diakses oleh publik atau lainnya Akun AWS, termasuk akun di luar organisasi Anda, pilih Arsip.

  5. Masukkan confirm, dan pilih Arsipkan.

Mengaktifkan temuan bucket yang diarsipkan

Setelah mengarsipkan temuan, Anda dapat selalu mempertahankan temuan tersebut dan mengubah status kembali menjadi aktif, yang menunjukkan bahwa bucket memerlukan peninjauan lain.

Untuk mengaktifkan pencarian bucket yang diarsipkan di IAM Access Analyzer untuk S3

  1. Buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  2. Di panel navigasi, pilih Access analyzer untuk S3.

  3. Pilih bucket findings yang diarsipkan.

  4. Pilih Tandai sebagai aktif.

Melihat detail temuan

Jika Anda perlu melihat informasi selengkapnya tentang bucket, Anda dapat membuka bucket untuk menemukan detail di IAM Access Analyzer di IAMKonsol.

Untuk melihat detail pencarian di IAM Access Analyzer untuk S3

  1. Buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  2. Di panel navigasi, pilih Access analyzer untuk S3.

  3. Di IAM Access Analyzer untuk S3, pilih bucket.

  4. Pilih Lihat detail.

    Detail temuan terbuka di IAM Access Analyzer di IAMKonsol.

Mengunduh IAM Access Analyzer untuk laporan S3

Anda dapat mengunduh temuan bucket sebagai CSV laporan yang dapat Anda gunakan untuk tujuan audit. Laporan tersebut menyertakan informasi yang sama yang Anda lihat di IAM Access Analyzer untuk S3 di konsol Amazon S3.

Untuk mengunduh laporan

  1. Buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  2. Di panel navigasi di sebelah kiri, pilih Access analyzer untuk S3.

  3. Pada filter Area, pilih Area.

    IAMAccess Analyzer untuk pembaruan S3 untuk menampilkan bucket untuk Wilayah yang dipilih.

  4. Pilih Unduh laporan.

    CSVLaporan dibuat dan disimpan ke komputer Anda.