AWSSupport-TroubleshootS3PublicRead - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-TroubleshootS3PublicRead

Descrizione

Il AWSSupport-TroubleshootS3PublicRead runbook diagnostica i problemi di lettura degli oggetti dal bucket pubblico Amazon Simple Storage Service (Amazon S3) specificato nel parametro. S3BucketName Un sottoinsieme di impostazioni viene inoltre analizzato per gli oggetti nel bucket S3.

Esegui questa automazione (console)

Limitazioni

  • Questa automazione non verifica i punti di accesso che consentono l'accesso pubblico agli oggetti.

  • Questa automazione non valuta le chiavi delle condizioni nella policy del bucket S3.

  • Se utilizzi AWS Organizations, questa automazione non valuta le politiche di controllo del servizio per confermare che l'accesso ad Amazon S3 è consentito.

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

Linux, macOS, Windows

Parametri

  • AutomationAssumeRole

    Tipo: stringa

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • CloudWatchLogGroupName

    Tipo: stringa

    Descrizione: (Facoltativo) Il gruppo di log di Amazon CloudWatch Logs a cui desideri inviare l'output di automazione. Se non viene trovato un gruppo di log che corrisponde al valore specificato, l'automazione creerà un gruppo di log utilizzando questo valore di parametro. Il periodo di conservazione per il gruppo di log creato da questa automazione è di 14 giorni.

  • CloudWatchLogStreamName

    Tipo: stringa

    Descrizione: (Facoltativo) Il flusso di log di CloudWatch Logs a cui si desidera inviare l'output dell'automazione. Se non viene trovato un flusso di log che corrisponde al valore specificato, l'automazione creerà un flusso di log utilizzando questo valore di parametro. Se non si specifica un valore per questo parametro, l'automazione utilizzerà il ExecutionId come nome del flusso di log.

  • HttpGet

    Tipo: Booleano

    Valori validi: true | false

    Impostazione predefinita: true

    Descrizione: (Facoltativo) Se questo parametro è impostato sutrue, l'automazione invia una HTTP richiesta parziale agli oggetti nel S3BucketName campo specificato. Solo il primo byte dell'oggetto viene restituito utilizzando l'HTTPintestazione Range.

  • IgnoreBlockPublicAccess

    Tipo: Booleano

    Valori validi: true | false

    Impostazione predefinita: false

    Descrizione: (Facoltativo) Se questo parametro è impostato sutrue, l'automazione ignora le impostazioni del blocco di accesso pubblico del bucket S3 specificato nel parametro. S3BucketName La modifica di questo parametro rispetto al valore predefinito non è consigliata.

  • MaxObjects

    Tipo: integer

    Valori validi: 1-25

    Impostazione predefinita: 5

    Descrizione: (Facoltativo) Il numero di oggetti da analizzare nel bucket S3 specificato nel parametro. S3BucketName

  • S3 BucketName

    Tipo: stringa

    Descrizione: (Obbligatorio) Il nome del bucket S3 da risolvere.

  • S3 PrefixName

    Tipo: stringa

    Descrizione: (Facoltativo) Il prefisso del nome chiave degli oggetti che desideri analizzare nel tuo bucket S3. Per ulteriori informazioni, consulta Object keys nella Amazon Simple Storage Service User Guide.

  • StartAfter

    Tipo: stringa

    Descrizione: (Facoltativo) Il nome della chiave dell'oggetto su cui desideri che l'automazione inizi ad analizzare gli oggetti nel tuo bucket S3.

  • ResourcePartition

    Tipo: stringa

    Valori validi: aws | aws-us-gov | aws-cn

    Impostazione predefinita: aws

    Descrizione: (Obbligatoria) La partizione in cui si trova il bucket S3.

  • Modalità dettagliata

    Tipo: Booleano

    Valori validi: true | false

    Impostazione predefinita: false

    Descrizione: (Facoltativo) Per restituire informazioni più dettagliate durante l'automazione, imposta questo parametro su. true Se il parametro è impostato su, verranno restituiti solo i messaggi di avviso e di errorefalse.

IAMAutorizzazioni richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

Le logs:PutLogEvents autorizzazioni logs:CreateLogGrouplogs:CreateLogStream, e sono necessarie solo se si desidera che l'automazione invii i dati di registro a Logs. CloudWatch 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:SimulateCustomPolicy",
                "iam:GetContextKeysForCustomPolicy",
                "s3:ListAllMyBuckets",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:PutRetentionPolicy",
                "s3:GetAccountPublicAccessBlock"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectTagging"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetBucketRequestPayment",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPolicy",
                "s3:GetBucketAcl"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1",
            "Effect": "Allow"
        }
    ]
}

Fasi del documento

  • aws:assertAwsResourceProperty- Conferma l'esistenza e l'accessibilità del bucket S3.

  • aws:executeScript- Restituisce la posizione del bucket S3 e il tuo ID utente canonico.

  • aws:executeScript- Restituisce le impostazioni del blocco di accesso pubblico per il tuo account e il bucket S3.

  • aws:assertAwsResourceProperty- Conferma che il bucket payer S3 è impostato su. BucketOwner Se Requester Pays è abilitato sul bucket S3, l'automazione termina.

  • aws:executeScript- Restituisce lo stato della policy del bucket S3 e determina se è considerata pubblica. Per ulteriori informazioni sui bucket S3 pubblici, consulta Il significato di «pubblico» nella Guida per l'utente di Amazon Simple Storage Service.

  • aws:executeAwsApi- Restituisce la policy sui bucket S3.

  • aws:executeAwsApi- Restituisce tutte le chiavi di contesto presenti nella policy del bucket S3.

  • aws:assertAwsResourceProperty- Conferma se esiste una negazione esplicita dell'azione nella policy del bucket S3. GetObject API

  • aws:executeAwsApi- Restituisce l'elenco di controllo degli accessi (ACL) per il bucket S3.

  • aws:executeScript- Crea un gruppo di log CloudWatch Logs e un flusso di log se si specifica un valore per il parametro. CloudWatchLogGroupName

  • aws:executeScript- In base ai valori specificati nei parametri di input del runbook, valuta se alcune delle impostazioni del bucket S3 raccolte durante l'automazione impediscono l'accesso agli oggetti da parte del pubblico. Questo script esegue le seguenti funzioni:

    • Valuta le impostazioni dei blocchi di accesso pubblico

    • Restituisce gli oggetti dal bucket S3 in base ai valori specificati nei parametri MaxObjectsS3PrefixName, e. StartAfter

    • Restituisce la policy del bucket S3 per simulare una IAM politica personalizzata per gli oggetti restituiti dal bucket S3.

    • Esegue una HTTP richiesta parziale agli oggetti restituiti se il parametro è impostato su. HttpGet true Solo il primo byte dell'oggetto viene restituito utilizzando l'HTTPintestazione Range.

    • Controlla il nome della chiave dell'oggetto restituito per confermare se termina con uno o due punti. I nomi delle chiavi degli oggetti che terminano in periodi non possono essere scaricati dalla console Amazon S3.

    • Verifica se il proprietario dell'oggetto restituito corrisponde al proprietario del bucket S3.

    • Verifica se le ACL concessioni READ o le FULL_CONTROL autorizzazioni dell'oggetto agli utenti anonimi.

    • Restituisce i tag associati all'oggetto.

    • Utilizza la IAM policy simulata per confermare se esiste una negazione esplicita per questo oggetto nella policy del bucket S3 per l'azione. GetObject API

    • Restituisce i metadati dell'oggetto per confermare che la classe di archiviazione è supportata.

    • Verifica le impostazioni di crittografia lato server dell'oggetto per confermare se l'oggetto è crittografato utilizzando una chiave AWS Key Management Service (AWS KMS) gestita dal cliente.

Output

AnalyzeObjects.bucket

AnalyzeObjects.oggetto