Revisione dell'accesso al bucket tramite IAM Access Analyzer per S3 - Amazon Simple Storage Service
Quali informazioni sono fornite da IAM Access Analyzer per S3?Abilitazione di IAM Access Analyzer per S3Blocco di tutti gli accessi pubbliciRevisione e modifica dell'accesso al bucketArchiviazione dei risultati del bucketAttivazione di un risultato di bucket archiviatoVisualizzazione dei dettagli del risultatoDownload di un report IAM Access Analyzer per S3

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Revisione dell'accesso al bucket tramite IAM Access Analyzer per S3

IAM Access Analyzer for S3 ti avvisa della presenza di bucket S3 configurati per consentire l'accesso a chiunque su Internet o altro Account AWS, anche Account AWS all'esterno della tua organizzazione. Per ogni bucket pubblico o condiviso, vengono visualizzati risultati per l'origine e il livello di accesso pubblico o condiviso. Ad esempio, IAM Access Analyzer per S3 potrebbe mostrare che un bucket dispone di accesso in lettura o scrittura fornito tramite una lista di controllo degli accessi (ACL) del bucket, una policy del bucket, una policy del punto di accesso multi-regione o una policy del punto di accesso. Con questi risultati puoi intraprendere azioni correttive immediate e precise per ripristinare l'accesso del bucket desiderato.

Durante la revisione di un bucket a rischio in IAM Access Analyzer per S3, è possibile bloccare tutti gli accessi pubblici al bucket con un solo clic. Ti consigliamo di bloccare tutti gli accessi ai bucket, a meno che non sia necessario l'accesso pubblico per supportare un caso d'uso specifico. Prima di bloccare tutti gli accessi pubblici, assicurati che le applicazioni continuino a funzionare correttamente senza accesso pubblico. Per ulteriori informazioni, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

Inoltre, puoi eseguire il drill-down nelle impostazioni relative alle autorizzazioni a livello di bucket per configurare i livelli di accesso granulari. Per casi d'uso specifici e verificati che richiedono l'accesso pubblico, ad esempio host di siti Web, download pubblici, condivisione tra account, puoi confermare e registrare l'intenzione del bucket di rimanere pubblico o condiviso archiviando i risultati per il bucket. Puoi consultare e modificare le configurazioni relative al bucket in qualsiasi momento. È inoltre possibile scaricare i risultati in un report CSV per scopi di verifica.

IAM Access Analyzer per S3 è disponibile senza costi aggiuntivi nella console di Amazon S3. IAM Access Analyzer per S3 è basato su AWS Identity and Access Management (IAM) IAM Access Analyzer. Per utilizzare IAM Access Analyzer for S3 nella console Amazon S3, è necessario visitare la console IAM e abilitare IAM Access Analyzer su base regionale.

Per ulteriori informazioni su IAM Access Analyzer, consulta Cos'è IAM Access Analyzer? nella Guida all'utente IAM. Per ulteriori informazioni su IAM Access Analyzer per S3, rivedi le sezioni seguenti.

Importante

  • IAM Access Analyzer per S3 richiede un analizzatore a livello di account. Per utilizzare IAM Access Analyzer per S3, è necessario visitare IAM Access Analyzer e creare un analizzatore che abbia un account come zona di attendibilità. Per ulteriori informazioni, consultare Abilitazione di IAM Access Analyzer nella Guida per l'utente di IAM.

  • IAM Access Analyzer per S3 non analizza la policy dei punti di accesso associata ai punti di accesso multi-account. Questo comportamento si verifica perché il punto di accesso e la relativa policy sono al di fuori della zona di attendibilità, ovvero l'account. I bucket che delegano l'accesso a un punto di accesso multi-account sono elencati in Buckets with public access (Bucket con accesso pubblico) se non hai applicato l'impostazione RestrictPublicBuckets di Blocco dell'accesso pubblico Amazon S3 al bucket o all'account. Quando applichi l'impostazione di RestrictPublicBuckets blocco dell'accesso pubblico, il bucket viene riportato in Bucket con accesso da altri, inclusi quelli di terze parti. Account AWS Account AWS

  • Quando una policy del bucket o un'ACL bucket viene aggiunta o modificata, IAM Access Analyzer genera e aggiorna i risultati in base alla modifica entro 30 minuti. I risultati relativi alle impostazioni di Blocco dell'accesso pubblico Amazon S3 a livello di account potrebbero non essere generati o aggiornati per un massimo di 6 ore dopo la modifica delle impostazioni. I risultati relativi ai punti di accesso multi-regione potrebbero non essere generati o aggiornati per un massimo di sei ore dopo la creazione o l'eliminazione del punto di accesso multi-regione o della modifica della policy.

Quali informazioni sono fornite da IAM Access Analyzer per S3?

IAM Access Analyzer per S3 fornisce risultati per i bucket a cui è possibile accedere al di fuori di Account AWS. I bucket elencati sotto Buckets with public access (Bucket con accesso pubblico) sono accessibili da chiunque su Internet. Se IAM Access Analyzer per S3 identifica i bucket pubblici, nella parte superiore della pagina viene visualizzato un avviso che indica il numero di bucket pubblici nella regione. I bucket elencati nella sezione Bucket con accesso da altri Account AWS , inclusi quelli di terze parti, Account AWS vengono condivisi in modo condizionale con altri Account AWS, compresi gli account esterni all'organizzazione.

Per ogni bucket, IAM Access Analyzer for S3 fornisce le seguenti informazioni:

  • Nome bucket

  • Rilevato da Access Analyzer ‐ Quando IAM Access Analyzer per S3 ha rilevato l'accesso al bucket pubblico o condiviso.

  • Condiviso tramite: come il bucket viene condiviso, ovvero tramite una policy di bucket, una ACL di bucket, una policy del punto di accesso multi-regione o una policy del punto di accesso. I punti di accesso multiregionali e i punti di accesso multi-account sono riportati sotto i punti di accesso. Un bucket può essere condiviso tramite entrambe le policy e. ACLs Per trovare e rivedere l'origine dell'accesso al bucket, puoi utilizzare le informazioni contenute in questa colonna come punto di partenza per intraprendere azioni correttive immediate e precise.

  • Status (Stato) - Lo stato del rilevamento del bucket. IAM Access Analyzer per S3 visualizza i risultati per tutti i bucket pubblici e condivisi.

    • Active (Attivo)- Il risultato non è stato esaminato.

    • Archived (Archiviato) - Il risultato è stato esaminato e confermato come previsto.

    • Tutti ‐ Tutti i risultati relativi ai bucket pubblici o condivisi con altri Account AWS, anche Account AWS al di fuori dell'organizzazione.

  • Access level (Livello di accesso) - Autorizzazioni di accesso concesse per il bucket:

    • List (Elenco) - Elencare le risorse.

    • Read (Lettura) - Leggere ma non modificare gli attributi e i contenuti delle risorse.

    • Write (Scrittura) - Creare, eliminare o modificare le risorse.

    • Permissions (Autorizzazioni) - Concedere o modificare le autorizzazioni a livello di risorsa.

    • Tagging (Tag) - Aggiornare i tag associati alla risorsa.

Abilitazione di IAM Access Analyzer per S3

Per utilizzare IAM Access Analyzer per S3, è necessario completare i seguenti passaggi prerequisiti.

  1. Concedere le autorizzazioni richieste.

    Per ulteriori informazioni, consultare Autorizzazioni necessarie per utilizzare IAM Access Analyzer nella Guida per l'utente di IAM.

  2. Visita IAM per creare un analizzatore a livello di account per ogni regione in cui desideri utilizzare IAM Access Analyzer.

    IAM Access Analyzer per S3 richiede un analizzatore a livello di account. Per utilizzare IAM Access Analyzer per S3, è necessario creare un analizzatore con un account come zona di attendibilità. Per ulteriori informazioni, consultare Abilitazione di IAM Access Analyzer nella Guida per l'utente di IAM.

Blocco di tutti gli accessi pubblici

Per bloccare tutti gli accessi a un bucket con un solo clic, puoi utilizzare il pulsante Blocca tutti gli accessi pubblici in IAM Access Analyzer per S3. Quando blocchi tutti gli accessi pubblici a un bucket, non viene concesso alcun accesso pubblico. Ti consigliamo di bloccare tutti gli accessi pubblici ai bucket, a meno che non sia necessario l'accesso pubblico per supportare un caso d'uso specifico e verificato. Prima di bloccare tutti gli accessi pubblici, assicurati che le applicazioni continuino a funzionare correttamente senza accesso pubblico.

Se non desideri bloccare tutti gli accessi pubblici al bucket, puoi modificare le impostazioni di blocco dell'accesso pubblico sulla console di Amazon S3 per configurare livelli granulari di accesso ai bucket. Per ulteriori informazioni, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

In rari casi, la valutazione dell'accesso pubblico a blocchi di IAM Access Analyzer per S3 e Amazon S3 potrebbe differire a seconda che un bucket sia pubblico. Questo comportamento si verifica perché l'accesso pubblico a blocchi di Amazon S3 esegue la convalida dell'esistenza di azioni oltre a valutare l'accesso pubblico. Supponiamo che la bucket policy contenga un'Actionistruzione che consenta l'accesso pubblico a un'azione non supportata da Amazon S3 (ad esempio,). s3:NotASupportedAction In questo caso, l'accesso pubblico a blocchi di Amazon S3 valuta il bucket come pubblico perché una tale dichiarazione potrebbe potenzialmente renderlo pubblico se l'azione verrà successivamente supportata. Nei casi in cui Amazon S3 blocca l'accesso pubblico e IAM Access Analyzer for S3 differiscono nelle rispettive valutazioni, consigliamo di rivedere la policy sui bucket e rimuovere eventuali azioni non supportate.

Per bloccare tutti gli accessi pubblici a un bucket utilizzando IAM Access Analyzer per S3

  1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione a sinistra, in Dashboards (Pannelli di controllo), scegliere Access analyzer for S3 (Access Analyzer per S3).

  3. In IAM Access Analyzer per S3, scegli un bucket.

  4. Scegliere Block all public access (Blocca tutti gli accessi pubblici).

  5. Per confermare l'intenzione di bloccare tutti gli accessi pubblici al bucket, in Block all public access (bucket settings) (Blocca tutti gli accessi pubblici (impostazioni bucket)), immettere confirm.

    Amazon S3 blocca tutti gli accessi pubblici al bucket. Lo stato del risultato del bucket viene aggiornato in risolto e il bucket scompare dall'elenco di IAM Access Analyzer per S3. Se si desidera esaminare i bucket risolti, aprire IAM Access Analyzer nella console IAM.

Revisione e modifica dell'accesso al bucket

Se non intendi concedere l'accesso al pubblico o ad altri Account AWS, compresi gli account esterni alla tua organizzazione, puoi modificare l'ACL del bucket, la policy del bucket, la politica del punto di accesso multiregionale o la politica del punto di accesso per rimuovere l'accesso al bucket. La colonna Shared through (Condiviso tramite) mostra tutte le origini dell'accesso al bucket: policy di bucket, ACL di bucket e/o policy del punto di accesso. I punti di accesso multi-regione e i punti di accesso multi-account sono riportati sotto i punti di accesso.

Per esaminare e modificare una policy di bucket, una ACL, una policy del punto di accesso multi-regione o del punto di accesso di un bucket

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione scegliere Access analyzer for S3 (Access Analyzer per S3).

  3. Per verificare se l'accesso pubblico o l'accesso condiviso è concesso tramite una policy di bucket, una ACL di bucket, una policy del punto di accesso multi-regione o una policy del punto di accesso, cerca nella colonna Shared through (Condiviso tramite).

  4. In Buckets (Bucket) scegli il nome del bucket con la policy di bucket, l'ACL di bucket, la policy del punto di accesso multi-regione o la policy del punto di accesso che desideri modificare o esaminare.

  5. Se si desidera modificare o visualizzare una ACL di bucket:

    1. Seleziona Autorizzazioni.

    2. Scegliere Access Control List (Lista di controllo accessi).

    3. Esaminare l'ACL di bucket e apportare le modifiche necessarie.

      Per ulteriori informazioni, consulta Configurazione ACLs.

  6. Se si desidera modificare o rivedere una policy di bucket:

    1. Seleziona Autorizzazioni.

    2. Scegli Bucket Policy (Policy del bucket).

    3. Esaminare o modificare la policy di bucket come richiesto.

      Per ulteriori informazioni, consulta Aggiunta di una policy di bucket utilizzando la console di Amazon S3.

  7. Se desideri esaminare o modificare una policy del punto di accesso multi-regione:

    1. Scegli Multi-Region Access Point (Punto di accesso multi-regione).

    2. Scegli il nome del punto di accesso multi-regione.

    3. Esamina o modifica la policy del punto di accesso multi-regione come necessario.

      Per ulteriori informazioni, consulta Autorizzazioni.

  8. Se si desidera rivedere o modificare una policy del punto di accesso:

    1. Scegliere Access points (Access point).

    2. Scegliere il nome del punto di accesso.

    3. Esaminare o modificare l'accesso in base alle esigenze.

      Per ulteriori informazioni, consulta Gestione dei punti di accesso Amazon S3.

    Se si modifica o si rimuove una ACL di bucket, una policy di bucket o una policy del punto di accesso per rimuovere l'accesso pubblico o condiviso, lo stato dei risultati del bucket viene aggiornato in resolved (risolto). I risultati dei bucket risolti scompaiono dall'elenco di IAM Access Analyzer for S3, ma è possibile visualizzarli in IAM Access Analyzer.

Archiviazione dei risultati del bucket

Se un bucket consente l'accesso al pubblico o ad altri utenti Account AWS, inclusi account esterni all'organizzazione, per supportare un caso d'uso specifico (ad esempio, un sito Web statico, download pubblici o condivisione tra account), puoi archiviare i risultati relativi al bucket. Quando archivi i risultati del bucket, confermi e registri l'intenzione che il bucket rimanga pubblico o condiviso. I risultati del bucket archiviati rimangono nell'elenco di IAM Access Analyzer per S3 in modo da sapere sempre quali bucket sono pubblici o condivisi.

Per archiviare i risultati del bucket in IAM Access Analyzer per S3

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione scegliere Access analyzer for S3 (Access Analyzer per S3).

  3. In IAM Access Analyzer per S3, scegli un bucket attivo.

  4. Per confermare la tua intenzione di consentire l'accesso a questo bucket da parte del pubblico o di altri utenti Account AWS, inclusi gli account esterni alla tua organizzazione, scegli Archivia.

  5. Immettere confirm e scegliere Archive (Archivia).

Attivazione di un risultato di bucket archiviato

Dopo aver archiviato i risultati, è sempre possibile esaminarli e modificarne lo stato attivo, indicando che il bucket richiede un'altra revisione.

Per attivare un risultato di bucket archiviato in IAM Access Analyzer per S3

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione scegliere Access analyzer for S3 (Access Analyzer per S3).

  3. Scegliere i risultati del bucket archiviati.

  4. Scegliere Mark as active (Contrassegna come attivo).

Visualizzazione dei dettagli del risultato

Se è necessario visualizzare ulteriori informazioni su un bucket, è possibile aprire i dettagli di ricerca del bucket in IAM Access Analyzer sulla console IAM.

Per visualizzare i dettagli dei risultati in IAM Access Analyzer per S3

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione scegliere Access analyzer for S3 (Access Analyzer per S3).

  3. In IAM Access Analyzer per S3, scegli un bucket.

  4. Seleziona View Details (Visualizza dettagli).

    I dettagli della ricerca si aprono in IAM Access Analyzer sulla console IAM.

Download di un report IAM Access Analyzer per S3

Puoi scaricare i risultati del bucket come report CSV che è possibile utilizzare per scopi di audit. Il report include le stesse informazioni visualizzate in IAM Access Analyzer per S3 sulla console di Amazon S3.

Per scaricare un report

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione a sinistra scegliere Access analyzer for S3 (Access Analyzer per S3).

  3. Nel filtro Region (Regione) scegliere Region (Regione).

    IAM Access Analyzer per S3 viene aggiornato per mostrare i bucket per la regione scelta.

  4. Scegliere Download report (Scarica report).

    Un report CSV viene generato e salvato sul computer.