使用 IAM Access Analyzer for S3 檢閱儲存貯體存取 - Amazon Simple Storage Service
IAM Access Analyzer for S3 提供哪些資訊?啟用 S3 的 IAM Access Analyzer封鎖所有公開存取檢閱和變更儲存貯體存取存檔儲存貯體發現項目啟用存檔的儲存貯體檢視發現項目詳細資料下載適用於 S3 的 IAM Access Analyzer 報告

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 IAM Access Analyzer for S3 檢閱儲存貯體存取

S3 的 IAM Access Analyzer 會提醒您 S3 儲存貯體,這些儲存貯體設定為允許存取網際網路或其他 上的任何人 AWS 帳戶,包括您的組織 AWS 帳戶 外部。針對每個公開或共用儲存貯體,您會收到公開或共用存取來源和層級的發現項目。例如,IAM Access Analyzer for S3 可能顯示儲存貯體具有透過儲存貯體存取控制清單 (ACL)、儲存貯體政策、多區域存取點政策或存取點政策提供的讀取或寫入存取權。使用這些問題清單,您可以採取立即且精確的更正動作,將儲存貯體存取還原成您想要的內容。

在 IAM Access Analyzer for S3 中檢閱有風險的儲存貯體時,只要按一下,即可封鎖對儲存貯體的所有公開存取。除非您需要公開存取以支援特定使用案例,否則建議您封鎖對儲存貯體的所有存取。在封鎖所有公開存取之前,請確定您的應用程式在沒有公開存取的情況下可繼續正常運作。如需詳細資訊,請參閱封鎖對 Amazon S3 儲存體的公開存取權

您還可以深入檢視儲存貯體的層級權限設定,以設定精細的存取層級。對於需要公開存取的特定和經驗證使用案例 (例如靜態網站託管、公開下載或跨帳戶共用),您可以將對儲存貯體的發現項目存檔,以確認並記錄您要讓儲存貯體保持公開或共用。您可以隨時再次瀏覽和修改這些儲存貯體組態。您也可以將調查結果下載為 CSV 報告以供稽核。

Amazon S3 主控台免費提供適用於 Amazon S3 的 IAM Access Analyzer。S3 的 IAM Access Analyzer 由 AWS Identity and Access Management (IAM) IAM Access Analyzer 提供支援。若要在 Amazon S3 主控台中使用適用於 S3 的 IAM Access Analyzer,您必須造訪 IAM 主控台,並根據區域啟用 IAM Access Analyzer。 Amazon S3

如需 IAM Access Analyzer 的詳細資訊,請參閱 IAM 使用者指南中的什麼是 Word Access Analyzer?IAM 如需有關 S3 的 IAM Access Analyzer 的詳細資訊,請參閱下列章節。

重要

  • S3 的 IAM Access Analyzer 需要帳戶層級分析器。若要使用適用於 S3 的 IAM Access Analyzer,您必須造訪 IAM Access Analyzer,並建立具有帳戶作為信任區域的分析器。如需詳細資訊,請參閱 IAM 使用者指南中的啟用 Word Access AnalyzerIAM

  • S3 的 IAM Access Analyzer 不會分析連接到跨帳戶存取點的存取點政策。發生此行為的原因是存取點及其政策位於信任區域 (亦即帳戶) 之外。如果您未將 RestrictPublicBuckets 封鎖公開存取設定套用至儲存貯體或帳戶,則將存取權委派給跨帳戶存取點的儲存貯體會列示在具有公開存取權的儲存貯體下。當您套用RestrictPublicBuckets區塊公有存取設定時,儲存貯體會在具有來自其他 存取的儲存貯體下報告 AWS 帳戶 ,包括第三方 AWS 帳戶

  • 新增或修改儲存貯體政策或儲存貯體 ACL 時,IAM Access Analyzer 會根據 30 分鐘內的變更產生和更新調查結果。在您變更設定後,最多可能有 6 小時的時間,與帳戶層級封鎖公開存取設定相關的發現項目不會產生或更新。建立、刪除多區域存取點或變更其政策後,最多可能有六小時的時間,與多區域存取點相關的發現項目不會產生或更新。

IAM Access Analyzer for S3 提供哪些資訊?

IAM Access Analyzer for S3 提供可在 外部存取的儲存貯體調查結果 AWS 帳戶。網際網路上的任何人都可以存取列在 Buckets with public access (具有公開存取的儲存貯體) 下的儲存貯體。如果 IAM Access Analyzer for S3 識別公有儲存貯體,您也會在頁面頂端看到警告,顯示您區域中的公有儲存貯體數量。列在儲存貯體下的儲存貯體具有來自其他 的存取權 AWS 帳戶 ,包括第三方 AWS 帳戶,都會有條件與其他 共用 AWS 帳戶,包括您組織外部的帳戶。

對於每個儲存貯體,IAM Access Analyzer for S3 會提供下列資訊:

  • 儲存貯體名稱

  • 由 Access Analyzer 發現 - 當 S3 的 IAM Access Analyzer 發現公有或共用儲存貯體存取時。

  • 透過 ‐ 共用儲存貯體的方式 — 透過儲存貯體政策、儲存貯體 ACL、多區域存取點政策或存取點政策。多區域存取點和跨帳户存取點會在存取點下顯現。儲存貯體可以透過政策和 ACLs 共用。如果您要尋找並檢閱儲存貯體存取的來源,可以使用此欄中的資訊作為採取立即且精確的更正動作的起點。

  • 狀態 ‐ 儲存貯體問題清單的狀態。S3 的 IAM Access Analyzer 會顯示所有公有和共用儲存貯體的調查結果。

    • 作用中 ‐ 問題清單尚未經過檢閱。

    • 已封存 ‐ 問題清單已如預期經過檢閱和確認。

    • 所有 - 所有公開或與其他 共用的儲存貯體調查結果 AWS 帳戶,包括組織 AWS 帳戶 外部的儲存貯體。

  • 存取層級 ‐ 授予儲存貯體的存取許可:

    • 列出 ‐ 列出相關資源。

    • 讀取 ‐ 讀取但不編輯資源內容和屬性。

    • 寫入 ‐ 建立、刪除或修改資源。

    • 許可 ‐ 授予或修改資源許可。

    • 標記 ‐ 更新與資源相關聯的標籤。

啟用 S3 的 IAM Access Analyzer

若要使用適用於 S3 的 IAM Access Analyzer,您必須完成下列必要步驟。

  1. 授予所需的許可。

    如需詳細資訊,請參閱 IAM 使用者指南中的使用 Word Access Analyzer 所需的許可IAM

  2. 請造訪 IAM,為您要使用 IAM Access Analyzer 的每個區域建立帳戶層級分析器。

    S3 的 IAM Access Analyzer 需要帳戶層級分析器。若要使用適用於 S3 的 IAM Access Analyzer,您必須建立具有帳戶作為信任區域的分析器。如需詳細資訊,請參閱 IAM 使用者指南中的啟用 Word Access AnalyzerIAM

封鎖所有公開存取

如果您想要在按一下後封鎖對儲存貯體的所有存取,您可以使用 IAM Access Analyzer for S3 中的封鎖所有公有存取按鈕。當您封鎖對儲存貯體的所有公開存取時,不會授予任何公開存取。除非您需要公開存取以支援特定和經驗證使用案例,否則建議您封鎖對儲存貯體的所有公開存取。在封鎖所有公開存取之前,請確定您的應用程式在沒有公開存取的情況下可繼續正常運作。

如果您不想封鎖對儲存貯體的所有公開存取,可以在 Amazon S3 主控台上編輯封鎖公開存取設定,為儲存貯體設定精細的存取層級。如需詳細資訊,請參閱封鎖對 Amazon S3 儲存體的公開存取權

在極少數情況下,適用於 S3 的 IAM Access Analyzer 可能不會報告 Amazon S3 封鎖公有存取評估報告為公有的儲存貯體調查結果。這是因為對於目前動作及日後可能新增的任何潛在動作,Amazon S3 封鎖公開存取會檢閱相關政策,導致儲存貯體變成公開。另一方面,IAM Access Analyzer for S3 只會在評估存取狀態時,分析 Amazon S3 服務指定的目前動作。

使用 IAM Access Analyzer for S3 封鎖對儲存貯體的所有公開存取

  1. 登入 AWS Management Console 並在 Word 開啟 Amazon S3 主控台。 https://console.aws.amazon.com/s3/

  2. 在左側的導覽窗格中,於 Dashboards (儀表板) 下,選擇 Access Analyzer for S3

  3. 在適用於 S3 的 IAM Access Analyzer 中,選擇儲存貯體。

  4. 選擇 Block all public access (封鎖所有公用存取)。

  5. 若要確認您要封鎖對儲存貯體的所有公開存取,請在 Block all public access (bucket settings) (封鎖所有公開存取 (儲存貯體設定)) 中輸入 confirm

    Amazon S3 隨即會封鎖對儲存貯體的所有公開存取。儲存貯體調查結果的狀態會更新為已解決,且儲存貯體會從 IAM Access Analyzer for S3 清單中消失。如果您想要檢閱已解決的儲存貯體,請在 IAM 主控台上開啟 IAM Access Analyzer。

檢閱和變更儲存貯體存取

如果您不打算授予公有或其他 的存取權 AWS 帳戶,包括組織外部的帳戶,您可以修改儲存貯體 ACL、儲存貯體政策、多區域存取點政策或存取點政策,以移除對儲存貯體的存取權。共用透過資料欄顯示儲存貯體存取的所有來源:儲存貯體政策、儲存貯體 ACL 和/或存取點政策。多區域存取點和跨帳户存取點會在存取點下顯現。

若要檢閱和變更儲存貯體政策、儲存貯體 ACL、多區域存取點或存取點政策

  1. 在 Word 開啟 Amazon S3 主控台。 https://console.aws.amazon.com/s3/

  2. 在導覽窗格中,選擇 Access Analyzer for S3

  3. 若要查看是否透過儲存貯體政策、儲存貯體 ACL、多區域存取點政策或存取點政策授予公有存取或共用存取,請參閱透過 共用欄。

  4. 儲存貯體下,選擇儲存貯體名稱,其中包含您要變更或檢閱的儲存貯體政策、儲存貯體 ACL、多區域存取點政策或存取點政策。

  5. 如果您想要變更或檢視儲存貯體 ACL:

    1. 選擇 Permissions (許可)。

    2. 選擇 Access Control List (存取控制清單)。

    3. 檢閱儲存貯體 ACL,並視需要進行變更。

      如需詳細資訊,請參閱設定 ACLs

  6. 如果您要變更或檢閱儲存貯體政策:

    1. 選擇 Permissions (許可)。

    2. 選擇 Bucket Policy (儲存貯體政策)。

    3. 視需要檢閱或變更儲存貯體政策。

      如需詳細資訊,請參閱使用 Amazon S3 主控台新增儲存貯體政策

  7. 如果您要變更或檢視多區域存取點政策:

    1. 選擇 Multi-Region Access Point (多區域存取點)。

    2. 選擇多區域存取點名稱。

    3. 視需要檢閱或變更您的多區域存取點政策。

      如需詳細資訊,請參閱許可

  8. 如果您要檢閱或變更存取點政策:

    1. 選擇 Access points (存取點)。

    2. 選擇存取點名稱。

    3. 視需要檢閱或變更存取權。

      如需詳細資訊,請參閱透過 Amazon S3 主控台使用 Amazon S3 存取點

    如果您編輯或移除儲存貯體 ACL、儲存貯體政策或存取點政策,以移除公有或共用存取,儲存貯體調查結果的狀態會更新以解決。已解決的儲存貯體調查結果會從 IAM Access Analyzer for S3 清單中消失,但您可以在 IAM Access Analyzer 中檢視它們。

存檔儲存貯體發現項目

如果儲存貯體授予公有或其他 的存取權 AWS 帳戶,包括組織外部的帳戶,以支援特定使用案例 (例如靜態網站、公有下載或跨帳戶共用),您可以封存儲存貯體的調查結果。當您將儲存貯體發現項目存檔時,表示您確認並記錄要讓儲存貯體保持公開或共用。封存的儲存貯體調查結果會保留在您的 IAM Access Analyzer for S3 清單中,以便您隨時知道哪些儲存貯體是公有或共用的。

在 IAM Access Analyzer for S3 中封存儲存貯體調查結果

  1. 在 Word 開啟 Amazon S3 主控台。 https://console.aws.amazon.com/s3/

  2. 在導覽窗格中,選擇 Access Analyzer for S3

  3. 在適用於 S3 的 IAM Access Analyzer 中,選擇作用中儲存貯體。

  4. 若要確認公有或其他方存取此儲存貯體的意圖 AWS 帳戶,包括組織外部的帳戶,請選擇封存

  5. 輸入 confirm,然後選擇 Archive (存檔)。

啟用存檔的儲存貯體

將發現項目存檔之後,您一律可以重新瀏覽它們,並將其狀態變更回作用中,指出該儲存貯體需要另一次檢閱。

在 IAM Access Analyzer for S3 中啟用封存儲存貯體調查結果

  1. 在 Word 開啟 Amazon S3 主控台。 https://console.aws.amazon.com/s3/

  2. 在導覽窗格中,選擇 Access Analyzer for S3

  3. 選擇存檔的儲存貯體發現項目。

  4. 選擇 Mark as active (標記為作用中)。

檢視發現項目詳細資料

如果您需要查看有關儲存貯體的詳細資訊,您可以在 IAM 主控台的 IAM Access Analyzer 中開啟儲存貯體調查結果詳細資訊。

在適用於 S3 的 IAM Access Analyzer 中檢視調查結果詳細資訊

  1. 在 Word 開啟 Amazon S3 主控台。 https://console.aws.amazon.com/s3/

  2. 在導覽窗格中,選擇 Access Analyzer for S3

  3. 在適用於 S3 的 IAM Access Analyzer 中,選擇儲存貯體。

  4. 請選擇 View Details (查看詳細資訊)。

    調查結果詳細資訊會在 IAM 主控台的 IAM Access Analyzer 中開啟。

下載適用於 S3 的 IAM Access Analyzer 報告

您可以將儲存貯體調查結果下載為 CSV 報告,可用於稽核。報告包含您在 Amazon S3 主控台上 S3 的 IAM Access Analyzer 中看到的相同資訊。

下載報告

  1. 在 Word 開啟 Amazon S3 主控台。 https://console.aws.amazon.com/s3/

  2. 在左側的導覽窗格中,選擇 Access Analyzer for S3

  3. 在地區篩選器中,選擇地區。

    IAM Access Analyzer for S3 更新,以顯示所選區域的儲存貯體。

  4. 選擇 Download report (下載報告)。

    會產生 CSV 報告並儲存至您的電腦。