本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
修復可能遭到入侵的 S3 儲存貯體
請遵循下列建議步驟,修復 AWS 環境中可能遭到入侵的 Amazon S3 儲存貯體:
-
識別可能遭到入侵的 S3 資源。
S3 的發現項目會在 GuardDuty 尋找詳細資料中列出相關聯的 S3 儲存貯體、其 Amazon 資源名稱 (ARN) 及其擁有者。
-
識別可疑活動的來源和所使用的API呼叫。
使用的API呼叫將在查找詳細信息
API
中列出。來源將是IAM主參與者 (IAM角色、使用者或帳戶),且識別詳細資訊將列在發現項目中。視來源類型而定,遠端 IP 地址或來源網域資訊將可供使用,並可協助您評估來源是否已獲得授權。如果發現涉及 Amazon EC2 執行個體的登入資料,該資源的詳細資訊也會包含在內。 -
判斷呼叫來源是否已獲得授權可存取已識別的資源。
如需範例,請考慮以下內容:
-
如果用IAM戶涉及,他們的憑據是否可能已被破壞? 如需詳細資訊,請參閱修復可能遭到破壞 AWS 的認證。
-
如果從沒有API叫用此類型的歷史記錄的主參與者叫用API,此來源是否需要此作業的存取權限? 是否可以進一步限制儲存貯體許可?
-
如果從使用者類型為
AWSAccount
的使用者名稱ANONYMOUS_PRINCIPAL
中看到存取,則表示該儲存貯體為公有且已存取。這個儲存貯體是否應該為公有? 如果不是,請檢閱以下安全建議,了解共用 S3 資源的替代解決方案。 -
如果訪問是
PreflightRequest
通過從用戶名中看到用戶類型為ANONYMOUS_PRINCIPAL
的成功調用,AWSAccount
則表示存儲桶已設置跨源資源共享(CORS)策略。這個存儲桶是否應該有CORS策略? 如果不是,請確保儲存貯體不會意外公開,並檢閱以下安全建議,了解共用 S3 資源的替代解決方案。如需詳細資訊,CORS請參閱 S3 使用者指南中的使用跨來源資源共用 (CORS)。
-
判斷 S3 儲存貯體是否包含敏感資料。
使用 Amazon Macie 判斷 S3 儲存貯體是否包含敏感資料,例如個人識別資訊 (PII)、財務資料或登入資料。如果您的 Macie 帳戶啟用了自動化敏感資料探索,請檢閱 S3 儲存貯體的詳細資訊,以更深入了解 S3 儲存貯體的內容。如果您的 Macie 帳戶已停用此功能,建議您將其開啟以加速評估。或者,您可以建立並執行敏感資料探索任務,以檢查 S3 儲存貯體的物件是否存在敏感資料。如需詳細資訊,請參閱 Discovering sensitive data with Macie。
如已授權存取,您可以忽略該調查結果。主https://console.aws.amazon.com/guardduty/
如果您判斷您的 S3 資料已被未經授權的一方公開或存取,請檢閱下列 S3 安全建議,以收緊許可並限制存取。適當的修復解決方案取決於特定環境的需求。
根據特定 S3 儲存貯體存取需求提供建議
下列清單根據特定 Amazon S3 儲存貯體存取需求提供建議:
-
如需限制公開存取 S3 資料使用的集中方式,S3 封鎖公用存取。透過四種不同的設定,可針對存取點、儲存貯體和 AWS 帳戶啟用封鎖公用存取設定,以控制存取的精細度。如需詳細資訊,請參閱 S3 封鎖公有存取設定。
-
AWS 存取原則可用來控制使用IAM者存取您資源的方式,或存取值區的方式。如需詳細資訊,請參閱使用儲存貯體政策與使用者政策。
此外,您可以使用虛擬私有雲端 (VPC) 端點搭配 S3 儲存貯體政策來限制對特定VPC端點的存取。如需詳細資訊,請參閱 Amazon S3 VPC 端點適用的儲存貯體政策範例
-
若要暫時允許將 S3 物件存取到帳戶外的受信任實體,您可以URL透過 S3 建立預先簽署。此存取權限使用您的帳戶憑證建立而成,並根據使用的憑證可以持續 6 小時到 7 天。如需詳細資訊,請參閱URLs使用 S3 產生預先簽署。
-
對於需要在不同來源之間共用 S3 物件的使用案例,您可以使用 S3 存取點建立許可集,以限制只存取私有網路中的物件。如需詳細資訊,請參閱使用 Amazon S3 Access Points 管理資料存取。
-
若要將 S3 資源的存取權安全地授與其他 AWS 帳戶,您可以使用存取控制清單 (ACL),如需詳細資訊,請參閱使用管理 S3 存取ACLs。
如需 S3 安全性選項的詳細資訊,請參閱 S3 安全性最佳實務。