Analisi dell'accesso ai bucket utilizzando IAM Access Analyzer per S3 - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Analisi dell'accesso ai bucket utilizzando IAM Access Analyzer per S3

IAMAccess Analyzer for S3 ti avvisa dei bucket S3 configurati per consentire l'accesso a chiunque su Internet o altro, anche all'esterno dell'organizzazione. Account AWS Account AWS Per ogni bucket pubblico o condiviso, vengono visualizzati risultati per l'origine e il livello di accesso pubblico o condiviso. Ad esempio, IAM Access Analyzer for S3 potrebbe mostrare che un bucket ha accesso in lettura o scrittura fornito tramite una lista di controllo degli accessi ai bucket (ACL), una policy del bucket, una policy per punti di accesso multiregionali o una politica del punto di accesso. Con questi risultati puoi intraprendere azioni correttive immediate e precise per ripristinare l'accesso del bucket desiderato.

Quando esamini un bucket a rischio in IAM Access Analyzer for S3, puoi bloccare tutti gli accessi pubblici al bucket con un solo clic. Ti consigliamo di bloccare tutti gli accessi ai bucket, a meno che non sia necessario l'accesso pubblico per supportare un caso d'uso specifico. Prima di bloccare tutti gli accessi pubblici, assicurati che le applicazioni continuino a funzionare correttamente senza accesso pubblico. Per ulteriori informazioni, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

Inoltre, puoi eseguire il drill-down nelle impostazioni relative alle autorizzazioni a livello di bucket per configurare i livelli di accesso granulari. Per casi d'uso specifici e verificati che richiedono l'accesso pubblico, ad esempio host di siti Web, download pubblici, condivisione tra account, puoi confermare e registrare l'intenzione del bucket di rimanere pubblico o condiviso archiviando i risultati per il bucket. Puoi consultare e modificare le configurazioni relative al bucket in qualsiasi momento. Puoi anche scaricare i risultati come rapporto a scopo di CSV controllo.

IAMAccess Analyzer per S3 è disponibile senza costi aggiuntivi sulla console Amazon S3. IAMAccess Analyzer for S3 è basato su () Access Analyzer. AWS Identity and Access Management IAM IAM Per utilizzare IAM Access Analyzer for S3 nella console Amazon S3, devi visitare IAM la console e IAM abilitare Access Analyzer per regione.

Per ulteriori informazioni su IAM Access Analyzer, consulta Cos'è Access Analyzer? IAM nella Guida per l'IAMutente. Per ulteriori informazioni su IAM Access Analyzer for S3, consulta le seguenti sezioni.

Importante
  • IAMAccess Analyzer for S3 richiede un analizzatore a livello di account. Per utilizzare IAM Access Analyzer for S3, è necessario visitare IAM Access Analyzer e creare un analizzatore con un account come zona di fiducia. Per ulteriori informazioni, consulta Enabling IAM Access Analyzer nella Guida per l'utente. IAM

  • IAMAccess Analyzer for S3 non analizza la politica dei punti di accesso allegata ai punti di accesso tra più account. Questo comportamento si verifica perché il punto di accesso e la relativa policy sono al di fuori della zona di attendibilità, ovvero l'account. I bucket che delegano l'accesso a un punto di accesso multi-account sono elencati in Buckets with public access (Bucket con accesso pubblico) se non hai applicato l'impostazione RestrictPublicBuckets di Blocco dell'accesso pubblico Amazon S3 al bucket o all'account. Quando applichi l'impostazione di RestrictPublicBuckets blocco dell'accesso pubblico, il bucket viene riportato in Bucket con accesso da altri, inclusi quelli di terze parti. Account AWS Account AWS

  • Quando ACL viene aggiunta o modificata una policy o un bucket, IAM Access Analyzer genera e aggiorna i risultati in base alla modifica entro 30 minuti. I risultati relativi alle impostazioni di Blocco dell'accesso pubblico Amazon S3 a livello di account potrebbero non essere generati o aggiornati per un massimo di 6 ore dopo la modifica delle impostazioni. I risultati relativi ai punti di accesso multi-regione potrebbero non essere generati o aggiornati per un massimo di sei ore dopo la creazione o l'eliminazione del punto di accesso multi-regione o della modifica della policy.

Quali informazioni fornisce IAM Access Analyzer per S3?

IAMAccess Analyzer for S3 fornisce risultati per i bucket a cui è possibile accedere dall'esterno. Account AWS I bucket elencati sotto Buckets with public access (Bucket con accesso pubblico) sono accessibili da chiunque su Internet. Se IAM Access Analyzer for S3 identifica i bucket pubblici, nella parte superiore della pagina viene visualizzato anche un avviso che mostra il numero di bucket pubblici nella tua regione. I bucket elencati nella sezione Bucket con accesso da altri Account AWS , inclusi quelli di terze parti, Account AWS vengono condivisi in modo condizionale con altri Account AWS, compresi gli account esterni all'organizzazione.

Per ogni bucket, IAM Access Analyzer for S3 fornisce le seguenti informazioni:

  • Nome bucket

  • Scoperto da Access analyzer ‐ Quando IAM Access Analyzer per S3 ha scoperto l'accesso pubblico o condiviso al bucket.

  • Condiviso tramite ‐ Come viene condiviso il bucket: tramite una policy di bucket, una policy relativa ai punti di accesso multiregionali o una policy relativa ai ACL punti di accesso. I punti di accesso multi-regione e i punti di accesso multi-account sono riportati sotto i punti di accesso. Un bucket può essere condiviso tramite entrambe le policy e. ACLs Per trovare e rivedere l'origine dell'accesso al bucket, puoi utilizzare le informazioni contenute in questa colonna come punto di partenza per intraprendere azioni correttive immediate e precise.

  • Status (Stato) - Lo stato del rilevamento del bucket. IAMAccess Analyzer for S3 mostra i risultati per tutti i bucket pubblici e condivisi.

    • Active (Attivo)- Il risultato non è stato esaminato.

    • Archived (Archiviato) - Il risultato è stato esaminato e confermato come previsto.

    • Tutti ‐ Tutti i risultati relativi ai bucket pubblici o condivisi con altri Account AWS, anche Account AWS al di fuori dell'organizzazione.

  • Access level (Livello di accesso) - Autorizzazioni di accesso concesse per il bucket:

    • List (Elenco) - Elencare le risorse.

    • Read (Lettura) - Leggere ma non modificare gli attributi e i contenuti delle risorse.

    • Write (Scrittura) - Creare, eliminare o modificare le risorse.

    • Permissions (Autorizzazioni) - Concedere o modificare le autorizzazioni a livello di risorsa.

    • Tagging (Tag) - Aggiornare i tag associati alla risorsa.

Abilitazione di IAM Access Analyzer per S3

Per utilizzare IAM Access Analyzer per S3, è necessario completare i seguenti passaggi preliminari.

  1. Concedere le autorizzazioni richieste.

    Per ulteriori informazioni, consulta Autorizzazioni necessarie per utilizzare IAM Access Analyzer nella Guida per l'utente. IAM

  2. Visita IAM la pagina per creare un analizzatore a livello di account per ogni regione in cui desideri utilizzare Access Analyzer. IAM

    IAMAccess Analyzer for S3 richiede un analizzatore a livello di account. Per utilizzare IAM Access Analyzer for S3, è necessario creare un analizzatore con un account come zona di fiducia. Per ulteriori informazioni, consulta Enabling IAM Access Analyzer nella Guida per l'utente. IAM

Blocco di tutti gli accessi pubblici

Se desideri bloccare tutti gli accessi a un bucket con un solo clic, puoi utilizzare il pulsante Blocca tutti gli accessi pubblici in IAM Access Analyzer per S3. Quando blocchi tutti gli accessi pubblici a un bucket, non viene concesso alcun accesso pubblico. Ti consigliamo di bloccare tutti gli accessi pubblici ai bucket, a meno che non sia necessario l'accesso pubblico per supportare un caso d'uso specifico e verificato. Prima di bloccare tutti gli accessi pubblici, assicurati che le applicazioni continuino a funzionare correttamente senza accesso pubblico.

Se non desideri bloccare tutti gli accessi pubblici al bucket, puoi modificare le impostazioni di blocco dell'accesso pubblico sulla console di Amazon S3 per configurare livelli granulari di accesso ai bucket. Per ulteriori informazioni, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

In rari casi, IAM Access Analyzer for S3 potrebbe non riportare alcun risultato per un bucket secondo cui un Amazon S3 ha bloccato i report di valutazione dell'accesso pubblico come pubblici. Ciò accade perché il blocco dell'accesso pubblico di Amazon S3 esamina le policy per le operazioni correnti ed eventuali operazioni potenziali che potrebbero venire aggiunte in futuro, facendo sì che un bucket diventi pubblico. D'altra parte, IAM Access Analyzer for S3 analizza solo le azioni correnti specificate per il servizio Amazon S3 nella valutazione dello stato di accesso.

Per bloccare tutti gli accessi pubblici a un bucket utilizzando Access Analyzer per S3 IAM
  1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione a sinistra, in Dashboards (Pannelli di controllo), scegliere Access analyzer for S3 (Access Analyzer per S3).

  3. In IAM Access Analyzer for S3, scegli un bucket.

  4. Scegliere Block all public access (Blocca tutti gli accessi pubblici).

  5. Per confermare l'intenzione di bloccare tutti gli accessi pubblici al bucket, in Block all public access (bucket settings) (Blocca tutti gli accessi pubblici (impostazioni bucket)), immettere confirm.

    Amazon S3 blocca tutti gli accessi pubblici al bucket. Lo stato della ricerca del bucket viene aggiornato a Risolto e il bucket scompare dall'elenco di Access Analyzer for S3. IAM Se desideri esaminare i bucket risolti, apri IAM Access Analyzer sulla console. IAM

Revisione e modifica dell'accesso al bucket

Se non intendi concedere l'accesso al pubblico o ad altri Account AWS, inclusi gli account esterni alla tua organizzazione, puoi modificare il bucket, la policy del bucketACL, la politica del punto di accesso multiregionale o la politica del punto di accesso per rimuovere l'accesso al bucket. La colonna Shared through mostra tutte le fonti di accesso al bucket: bucket policy, ACL bucket e/o access point policy. I punti di accesso multi-regione e i punti di accesso multi-account sono riportati sotto i punti di accesso.

Per rivedere e modificare una politica del bucket, un bucketACL, un punto di accesso multiregionale o una politica del punto di accesso
  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione scegliere Access analyzer for S3 (Access Analyzer per S3).

  3. Per vedere se l'accesso pubblico o condiviso è concesso tramite una policy bucket, una policy per punti di accesso multiregionali o una policy relativa ai punti di accesso, consulta ACL la colonna Condiviso attraverso.

  4. In Bucket, scegli il nome del bucket con la policy del bucket, la politica del punto di accesso multiregionale o la politica del punto di accesso che desideri ACL modificare o rivedere.

  5. Se desideri modificare o visualizzare un bucket: ACL

    1. Seleziona Autorizzazioni.

    2. Scegliere Access Control List (Lista di controllo accessi).

    3. Controlla il bucket ACL e apporta le modifiche necessarie.

      Per ulteriori informazioni, consulta Configurazione ACLs.

  6. Se si desidera modificare o rivedere una policy di bucket:

    1. Seleziona Autorizzazioni.

    2. Scegli Bucket Policy (Policy del bucket).

    3. Esaminare o modificare la policy di bucket come richiesto.

      Per ulteriori informazioni, consulta Aggiunta di una policy di bucket utilizzando la console di Amazon S3.

  7. Se desideri esaminare o modificare una policy del punto di accesso multi-regione:

    1. Scegli Multi-Region Access Point (Punto di accesso multi-regione).

    2. Scegli il nome del punto di accesso multi-regione.

    3. Esamina o modifica la policy del punto di accesso multi-regione come necessario.

      Per ulteriori informazioni, consulta Autorizzazioni.

  8. Se si desidera rivedere o modificare una policy del punto di accesso:

    1. Scegliere Access points (Access point).

    2. Scegliere il nome del punto di accesso.

    3. Esaminare o modificare l'accesso in base alle esigenze.

      Per ulteriori informazioni, consulta Gestione e utilizzo degli Punti di accesso Amazon S3 nella console di Amazon S3.

    Se modifichi o rimuovi un bucketACL, una policy del bucket o una policy del punto di accesso per rimuovere l'accesso pubblico o condiviso, lo stato dei risultati del bucket diventa risolto. I risultati del bucket risolti scompaiono dall'elenco di IAM Access Analyzer for S3, ma puoi visualizzarli in Access Analyzer. IAM

Archiviazione dei risultati del bucket

Se un bucket consente l'accesso al pubblico o ad altri utenti Account AWS, inclusi account esterni all'organizzazione, per supportare un caso d'uso specifico (ad esempio, un sito Web statico, download pubblici o condivisione tra account), puoi archiviare i risultati relativi al bucket. Quando archivi i risultati del bucket, confermi e registri l'intenzione che il bucket rimanga pubblico o condiviso. I risultati dei bucket archiviati rimangono nell'elenco di IAM Access Analyzer for S3, in modo da sapere sempre quali bucket sono pubblici o condivisi.

Per archiviare i risultati dei bucket in Access Analyzer per S3 IAM
  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione scegliere Access analyzer for S3 (Access Analyzer per S3).

  3. In IAM Access Analyzer for S3, scegli un bucket attivo.

  4. Per confermare la tua intenzione di consentire l'accesso a questo bucket da parte del pubblico o di altri utenti Account AWS, inclusi gli account esterni all'organizzazione, scegli Archivia.

  5. Immettere confirm e scegliere Archive (Archivia).

Attivazione di un risultato di bucket archiviato

Dopo aver archiviato i risultati, è sempre possibile esaminarli e modificarne lo stato attivo, indicando che il bucket richiede un'altra revisione.

Per attivare la ricerca di un bucket archiviato in Access Analyzer per S3 IAM
  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione scegliere Access analyzer for S3 (Access Analyzer per S3).

  3. Scegliere i risultati del bucket archiviati.

  4. Scegliere Mark as active (Contrassegna come attivo).

Visualizzazione dei dettagli del risultato

Se hai bisogno di visualizzare ulteriori informazioni su un bucket, puoi aprirlo trovando i dettagli in IAM Access Analyzer sulla console. IAM

Per visualizzare i dettagli dei risultati in IAM Access Analyzer per S3
  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione scegliere Access analyzer for S3 (Access Analyzer per S3).

  3. In IAM Access Analyzer for S3, scegli un bucket.

  4. Seleziona Visualizza dettagli.

    I dettagli della ricerca si aprono in IAM Access Analyzer sulla console. IAM

Scaricamento di un report di IAM Access Analyzer per S3

Puoi scaricare i risultati del bucket come CSV rapporto da utilizzare per scopi di controllo. Il rapporto include le stesse informazioni che vedi in IAM Access Analyzer for S3 sulla console Amazon S3.

Per scaricare un report
  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione a sinistra scegliere Access analyzer for S3 (Access Analyzer per S3).

  3. Nel filtro Region (Regione) scegliere Region (Regione).

    IAMAccess Analyzer for S3 aggiorna per mostrare i bucket per la regione selezionata.

  4. Scegliere Download report (Scarica report).

    Un CSV rapporto viene generato e salvato sul tuo computer.