Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Riparazione di un bucket S3 potenzialmente compromesso
Segui questi passaggi consigliati per correggere un bucket Amazon S3 potenzialmente compromesso nel tuo ambiente: AWS
-
Identifica la risorsa S3 potenzialmente compromessa.
Un GuardDuty risultato per S3 elencherà il bucket S3 associato, il relativo Amazon Resource Name (ARN) e il suo proprietario nei dettagli del risultato.
-
Identifica l'origine dell'attività sospetta e la chiamata utilizzata. API
La API chiamata utilizzata verrà elencata come indicato
APInei dettagli del ritrovamento. La fonte sarà un IAM principale (un IAM ruolo, un utente o un account) e i dettagli identificativi verranno elencati nel risultato. A seconda del tipo di origine, saranno disponibili informazioni sull'indirizzo IP remoto o sul dominio di origine che servono per valutare se l'origine era autorizzata o meno. Se il risultato riguardava credenziali di un'EC2istanza Amazon, verranno inclusi anche i dettagli per quella risorsa. -
Determina se l'origine della chiamata era autorizzata ad accedere alla risorsa identificata.
Ad esempio, considera i quesiti seguenti:
-
Se è stato coinvolto un IAM utente, è possibile che le sue credenziali siano state potenzialmente compromesse? Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
-
Se un API è stato richiamato da un principale che non ha precedenti di invocazioni di questo tipoAPI, questa fonte necessita delle autorizzazioni di accesso per questa operazione? Le autorizzazioni del bucket possono essere ulteriormente limitate?
-
Se l'accesso è stato visualizzato dal nome utente
ANONYMOUS_PRINCIPALcon tipo di utente diAWSAccount, significa che il bucket è pubblico e vi è stato effettuato l'accesso. Questo bucket dovrebbe essere pubblico? In caso negativo, consulta i consigli di sicurezza riportati di seguito per trovare soluzioni alternative alla condivisione delle risorse S3. -
Se l'accesso è avvenuto tramite una
PreflightRequestchiamata riuscita visualizzata dal nome utenteANONYMOUS_PRINCIPALcon tipo di utente,AWSAccountciò indica che il bucket ha un set di criteri di condivisione delle risorse () tra origini diverse. CORS Questo bucket dovrebbe avere una politica? CORS In caso negativo, assicurati che il bucket non sia stato involontariamente reso pubblico e consulta i consigli di sicurezza riportati di seguito per trovare soluzioni alternative alla condivisione delle risorse S3. Per ulteriori informazioni, CORS consulta Using cross-origin resource sharing (CORS) nella guida per l'utente di S3.
-
Determina se il bucket S3 contiene dati sensibili.
Usa Amazon Macie per determinare se il bucket S3 contiene dati sensibili, come informazioni di identificazione personale (PII), dati finanziari o credenziali. Se il rilevamento automatico dei dati sensibili è abilitato per il tuo account Macie, esamina i dettagli del bucket S3 per comprendere meglio il contenuto del bucket S3. Se questa funzionalità è disabilitata per il tuo account Macie, ti consigliamo di attivarla per accelerare la valutazione. In alternativa, puoi creare ed eseguire un processo di rilevamento dei dati sensibili per ispezionare gli oggetti del bucket S3 alla ricerca di dati sensibili. Per ulteriori informazioni, consulta Rilevamento dei dati sensibili con Macie.
Se l'accesso era autorizzato, puoi ignorare l'esito. La https://console.aws.amazon.com/guardduty/
Se ritieni che i tuoi dati S3 siano stati esposti o consultati da soggetti non autorizzati, consulta i seguenti consigli sulla sicurezza di S3 per rafforzare le autorizzazioni e limitare l'accesso. Le soluzioni di correzione appropriate dipenderanno dalle esigenze dell'ambiente specifico.
Consigli basati su esigenze specifiche di accesso ai bucket S3
L'elenco seguente fornisce consigli basati su esigenze specifiche di accesso ai bucket Amazon S3:
-
Per limitare l'accesso pubblico all'uso dei dati S3 in modo centralizzato, S3 blocca l'accesso pubblico. Le impostazioni di blocco dell'accesso pubblico possono essere abilitate per punti di accesso, bucket e AWS account tramite quattro diverse impostazioni per controllare la granularità dell'accesso. Per ulteriori informazioni, consulta Impostazioni del blocco dell'accesso pubblico S3.
-
AWS Le policy di accesso possono essere utilizzate per controllare in che modo IAM gli utenti possono accedere alle tue risorse o come accedere ai tuoi bucket. Per ulteriori informazioni, consulta Utilizzo delle policy di bucket e delle policy utente.
Inoltre, puoi utilizzare gli endpoint Virtual Private Cloud (VPC) con policy S3 bucket per limitare l'accesso a endpoint specifici. VPC Per ulteriori informazioni, consulta Example Bucket Policies for VPC Endpoints for Amazon S3
-
Per consentire temporaneamente l'accesso ai tuoi oggetti S3 a entità attendibili esterne al tuo account, puoi creare un Presigned tramite S3. URL Questo accesso viene creato utilizzando le credenziali dell'account e, a seconda delle credenziali utilizzate, può durare da 6 ore a 7 giorni. Per maggiori informazioni, consulta Generazione di dati URLs prefirmati con S3.
-
Per i casi d'uso che richiedono la condivisione di oggetti S3 tra diverse origini, puoi utilizzare i punti di accesso S3 per creare set di autorizzazioni che limitano l'accesso solo a quelli che si trovano all'interno della tua rete privata. Per ulteriori informazioni, consulta Gestione dell'accesso ai dati con i punti di accesso Amazon S3.
-
Per concedere l'accesso sicuro alle tue risorse S3 ad altri AWS account puoi utilizzare una lista di controllo degli accessi (ACL), per maggiori informazioni consulta Gestire S3 Access con. ACLs
Per ulteriori informazioni sulle opzioni di sicurezza di S3, consulta le migliori pratiche di sicurezza di S3.
