Revisione dell'accesso al bucket tramite IAM Access Analyzer per S3 - Amazon Simple Storage Service
Revisione dell'accesso esterno con riepilogo degli accessi esterniInformazioni fornite da IAM Access Analyzer per S3Blocco di tutti gli accessi pubbliciRevisione e modifica dell'accesso al bucketArchiviazione dei risultati del bucketAttivazione di un risultato di bucket archiviatoVisualizzazione dei dettagli del risultatoDownload di un report IAM Access Analyzer per S3

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Revisione dell'accesso al bucket tramite IAM Access Analyzer per S3

IAM Access Analyzer for S3 fornisce risultati di accesso esterni per i bucket S3 per uso generico configurati per consentire l'accesso a chiunque su Internet (pubblico) o altro Account AWS, anche Account AWS all'esterno dell'organizzazione. Per ogni bucket condiviso pubblicamente o con altri Account AWS, ricevi informazioni sulla fonte e sul livello di accesso condiviso. Ad esempio, IAM Access Analyzer per S3 potrebbe mostrare che un bucket dispone di accesso in lettura o scrittura fornito tramite una lista di controllo degli accessi (ACL) del bucket, una policy del bucket, una policy del punto di accesso multi-regione o una policy del punto di accesso. Con questi risultati puoi intraprendere azioni correttive immediate e precise per ripristinare l'accesso del bucket desiderato.

La console Amazon S3 presenta un riepilogo degli accessi esterni nella console S3 accanto all'elenco dei bucket per uso generico. Nel riepilogo, puoi fare clic sui risultati attivi di ciascuno di essi per Regione AWS visualizzarne i dettagli nella pagina IAM Access Analyzer for S3. I risultati dell'accesso esterno nel riepilogo degli accessi esterni vengono aggiornati automaticamente una volta ogni 24 ore.

Quando esamini un bucket che consente l'accesso pubblico, nella pagina IAM Access Analyzer for S3 puoi bloccare tutti gli accessi pubblici al bucket con un solo clic. Ti consigliamo di bloccare tutti gli accessi pubblici ai tuoi bucket, a meno che tu non richieda l'accesso pubblico per supportare un caso d'uso specifico. Prima di bloccare tutti gli accessi pubblici, assicurati che le applicazioni continuino a funzionare correttamente senza accesso pubblico. Per ulteriori informazioni, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

Inoltre, puoi eseguire il drill-down nelle impostazioni relative alle autorizzazioni a livello di bucket per configurare i livelli di accesso granulari. Per casi d'uso specifici e verificati che richiedono l'accesso pubblico, ad esempio host di siti Web, download pubblici, condivisione tra account, puoi confermare e registrare l'intenzione del bucket di rimanere pubblico o condiviso archiviando i risultati per il bucket. Puoi consultare e modificare le configurazioni relative al bucket in qualsiasi momento. È inoltre possibile scaricare i risultati in un report CSV per scopi di verifica.

IAM Access Analyzer per S3 è disponibile senza costi aggiuntivi nella console di Amazon S3. IAM Access Analyzer per S3 è basato su AWS Identity and Access Management (IAM) IAM Access Analyzer. Per utilizzare IAM Access Analyzer for S3 nella console Amazon S3, devi visitare la console IAM e creare un analizzatore di accesso esterno per regione.

Per ulteriori informazioni su IAM Access Analyzer, consulta Cos'è IAM Access Analyzer? nella Guida all'utente IAM. Per ulteriori informazioni su IAM Access Analyzer per S3, rivedi le sezioni seguenti.

Importante

  • IAM Access Analyzer for S3 richiede un analizzatore a livello di account in ogni area in cui sono presenti bucket. Regione AWS Per utilizzare IAM Access Analyzer per S3, è necessario visitare IAM Access Analyzer e creare un analizzatore che abbia un account come zona di attendibilità. Per ulteriori informazioni, consultare Abilitazione di IAM Access Analyzer nella Guida per l'utente di IAM.

  • IAM Access Analyzer per S3 non analizza la policy dei punti di accesso associata ai punti di accesso multi-account. Questo comportamento si verifica perché il punto di accesso e la relativa policy sono al di fuori della zona di attendibilità, ovvero l'account. I bucket che delegano l'accesso a un punto di accesso multi-account sono elencati in Buckets with public access (Bucket con accesso pubblico) se non hai applicato l'impostazione RestrictPublicBuckets di Blocco dell'accesso pubblico Amazon S3 al bucket o all'account. Quando applichi l'impostazione di RestrictPublicBuckets blocco dell'accesso pubblico, il bucket viene riportato in Bucket con accesso da altri, inclusi quelli di terze parti. Account AWS Account AWS

  • Quando una policy del bucket o un'ACL bucket viene aggiunta o modificata, IAM Access Analyzer genera e aggiorna i risultati in base alla modifica entro 30 minuti. I risultati relativi alle impostazioni di Blocco dell'accesso pubblico Amazon S3 a livello di account potrebbero non essere generati o aggiornati per un massimo di 6 ore dopo la modifica delle impostazioni. I risultati relativi ai punti di accesso multi-regione potrebbero non essere generati o aggiornati per un massimo di sei ore dopo la creazione o l'eliminazione del punto di accesso multi-regione o della modifica della policy.

Revisione di un riepilogo globale delle politiche che garantiscono l'accesso esterno ai bucket

Puoi utilizzare il riepilogo dell'accesso esterno per visualizzare un riepilogo globale delle politiche che garantiscono l'accesso esterno ai bucket Account AWS direttamente dalla console S3. Questo riepilogo ti aiuta a identificare i bucket generici di Amazon S3 in quelli Regione AWS che consentono l'accesso pubblico o l'accesso da altri Account AWS senza dover esaminare le policy di ciascuno di essi. Regione AWS

Abilitazione del riepilogo degli accessi esterni e di IAM Access Analyzer per S3

Per utilizzare il riepilogo degli accessi esterni e IAM Access Analyzer per S3, è necessario completare i seguenti passaggi preliminari.

  1. Concedere le autorizzazioni richieste. Per ulteriori informazioni, consultare Autorizzazioni necessarie per utilizzare IAM Access Analyzer nella Guida per l'utente di IAM.

  2. Visita IAM per creare un analizzatore a livello di account per ogni regione in cui desideri utilizzare IAM Access Analyzer.

    Puoi farlo creando un analizzatore con un account come zona di fiducia nella console IAM o utilizzando o. AWS CLI AWS SDKs Per ulteriori informazioni, consultare Abilitazione di IAM Access Analyzer nella Guida per l'utente di IAM.

Visualizzazione dei bucket che consentono l'accesso esterno

Il riepilogo dell'accesso esterno mostra i risultati e gli errori relativi all'accesso esterno forniti da IAM Access Analyzer for S3 per bucket generici. I risultati archiviati e i risultati relativi agli accessi non utilizzati non sono inclusi nel riepilogo, ma possono essere visualizzati nella console IAM o IAM Access Analyzer per S3. Per ulteriori informazioni, consulta Visualizza la dashboard dei risultati di IAM Access Analyzer nella Guida per l'utente di IAM.

Nota

Il riepilogo dell'accesso esterno include solo i risultati degli analizzatori di accesso esterno per ciascuna delle aziende Account AWS, non per la propria organizzazione. AWS

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel pannello di navigazione a sinistra, scegli Bucks per uso generico.

  3. Espandi il riepilogo dell'accesso esterno. La console mostra i risultati degli accessi pubblici attivi e su più account.

    Nota

    Se S3 riscontra un problema durante il caricamento dei dettagli dei bucket, aggiorna l'elenco dei bucket generici o visualizza i risultati in IAM Access Analyzer for S3. Per ulteriori informazioni, consulta Revisione dell'accesso al bucket tramite IAM Access Analyzer per S3.

  4. Per visualizzare un elenco di risultati o errori relativi a un Regione AWS, scegli il link alla regione. La pagina IAM Access Analyzer for S3 mostra i nomi dei bucket a cui è possibile accedere pubblicamente o da altri. Account AWS Per ulteriori informazioni, consulta Informazioni fornite da IAM Access Analyzer per S3.

Aggiornamento dei controlli di accesso per i bucket che consentono l'accesso esterno

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel pannello di navigazione a sinistra, scegli Bucks per uso generico.

  3. Espandi il riepilogo dell'accesso esterno. La console mostra i risultati attivi relativi ai bucket a cui è possibile accedere pubblicamente o da altri Account AWS.

    Nota

    Se S3 riscontra un problema durante il caricamento dei dettagli dei bucket, aggiorna l'elenco dei bucket generici o visualizza i risultati in IAM Access Analyzer for S3. Per ulteriori informazioni, consulta Revisione dell'accesso al bucket tramite IAM Access Analyzer per S3.

  4. Per visualizzare un elenco di risultati o errori relativi a un Regione AWS, scegli il link alla regione. IAM Access Analyzer for S3 mostra i risultati attivi per i bucket a cui è possibile accedere pubblicamente o da altri. Account AWS

    Nota

    I risultati dell'accesso esterno nel riepilogo degli accessi esterni vengono aggiornati automaticamente una volta ogni 24 ore.

  5. Per bloccare tutti gli accessi pubblici per un bucket, consulta. Blocco di tutti gli accessi pubblici Per modificare l'accesso al bucket, consulta. Revisione e modifica dell'accesso al bucket

Informazioni fornite da IAM Access Analyzer per S3

IAM Access Analyzer per S3 fornisce risultati per i bucket a cui è possibile accedere al di fuori di Account AWS. I bucket elencati nella sezione Risultati dell'accesso pubblico sono accessibili a chiunque su Internet. Se IAM Access Analyzer per S3 identifica i bucket pubblici, nella parte superiore della pagina viene visualizzato un avviso che indica il numero di bucket pubblici nella regione. I bucket elencati nella sezione Risultati degli accessi tra account vengono condivisi a determinate condizioni con altri utenti Account AWS, inclusi gli account esterni all'organizzazione.

Per ogni bucket, IAM Access Analyzer for S3 fornisce le seguenti informazioni:

  • Nome bucket

  • Condiviso tramite: come il bucket viene condiviso, ovvero tramite una policy di bucket, una ACL di bucket, una policy del punto di accesso multi-regione o una policy del punto di accesso. I punti di accesso multiregionali e i punti di accesso multi-account sono riportati sotto i punti di accesso. Un bucket può essere condiviso tramite entrambe le policy e. ACLs Per trovare e rivedere l'origine dell'accesso al bucket, puoi utilizzare le informazioni contenute in questa colonna come punto di partenza per intraprendere azioni correttive immediate e precise.

  • Status (Stato) - Lo stato del rilevamento del bucket. IAM Access Analyzer per S3 visualizza i risultati per tutti i bucket pubblici e condivisi.

    • Active (Attivo)- Il risultato non è stato esaminato.

    • Archived (Archiviato) - Il risultato è stato esaminato e confermato come previsto.

    • Tutti ‐ Tutti i risultati relativi ai bucket pubblici o condivisi con altri Account AWS, anche Account AWS al di fuori dell'organizzazione.

  • Access level (Livello di accesso) - Autorizzazioni di accesso concesse per il bucket:

    • List (Elenco) - Elencare le risorse.

    • Read (Lettura) - Leggere ma non modificare gli attributi e i contenuti delle risorse.

    • Write (Scrittura) - Creare, eliminare o modificare le risorse.

    • Permissions (Autorizzazioni) - Concedere o modificare le autorizzazioni a livello di risorsa.

    • Tagging (Tag) - Aggiornare i tag associati alla risorsa.

  • Responsabile esterno ‐ L' Account AWS esterno dell'organizzazione con accesso al bucket.

  • Restrizione della politica di controllo delle risorse (RCP) ‐ La politica di controllo delle risorse (RCP) che si applica al bucket, se applicabile. Per ulteriori informazioni, vedere Politiche di controllo delle risorse (). RCPs

Blocco di tutti gli accessi pubblici

Per bloccare tutti gli accessi a un bucket con un solo clic, puoi utilizzare il pulsante Blocca tutti gli accessi pubblici in IAM Access Analyzer per S3. Quando blocchi tutti gli accessi pubblici a un bucket, non viene concesso alcun accesso pubblico. Ti consigliamo di bloccare tutti gli accessi pubblici ai bucket, a meno che non sia necessario l'accesso pubblico per supportare un caso d'uso specifico e verificato. Prima di bloccare tutti gli accessi pubblici, assicurati che le applicazioni continuino a funzionare correttamente senza accesso pubblico.

Se non desideri bloccare tutti gli accessi pubblici al bucket, puoi modificare le impostazioni di blocco dell'accesso pubblico sulla console di Amazon S3 per configurare livelli granulari di accesso ai bucket. Per ulteriori informazioni, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

In rari casi, la valutazione dell'accesso pubblico a blocchi di IAM Access Analyzer per S3 e Amazon S3 potrebbe differire a seconda che un bucket sia pubblico. Questo comportamento si verifica perché l'accesso pubblico a blocchi di Amazon S3 esegue la convalida dell'esistenza di azioni oltre a valutare l'accesso pubblico. Supponiamo che la bucket policy contenga un'Actionistruzione che consenta l'accesso pubblico a un'azione non supportata da Amazon S3 (ad esempio,). s3:NotASupportedAction In questo caso, l'accesso pubblico a blocchi di Amazon S3 valuta il bucket come pubblico perché una tale dichiarazione potrebbe potenzialmente renderlo pubblico se l'azione verrà successivamente supportata. Nei casi in cui Amazon S3 blocca l'accesso pubblico e IAM Access Analyzer for S3 differiscono nelle rispettive valutazioni, consigliamo di rivedere la policy sui bucket e rimuovere eventuali azioni non supportate.

Per bloccare tutti gli accessi pubblici a un bucket utilizzando IAM Access Analyzer per S3

  1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione a sinistra, in Dashboards (Pannelli di controllo), scegliere Access analyzer for S3 (Access Analyzer per S3).

  3. In IAM Access Analyzer per S3, scegli un bucket.

  4. Scegliere Block all public access (Blocca tutti gli accessi pubblici).

  5. Per confermare l'intenzione di bloccare tutti gli accessi pubblici al bucket, in Block all public access (bucket settings) (Blocca tutti gli accessi pubblici (impostazioni bucket)), immettere confirm.

    Amazon S3 blocca tutti gli accessi pubblici al bucket. Lo stato del risultato del bucket viene aggiornato in risolto e il bucket scompare dall'elenco di IAM Access Analyzer per S3. Se si desidera esaminare i bucket risolti, aprire IAM Access Analyzer nella console IAM.

Revisione e modifica dell'accesso al bucket

Se non intendi concedere l'accesso al pubblico o ad altri Account AWS, compresi gli account esterni alla tua organizzazione, puoi modificare l'ACL del bucket, la policy del bucket, la politica del punto di accesso multiregionale o la politica del punto di accesso per rimuovere l'accesso al bucket. La colonna Shared through mostra tutte le fonti di accesso al bucket: bucket policy, bucket ACL, access point policy. and/or I punti di accesso multi-regione e i punti di accesso multi-account sono riportati sotto i punti di accesso.

Per esaminare e modificare una policy di bucket, una ACL, una policy del punto di accesso multi-regione o del punto di accesso di un bucket

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione scegliere Access analyzer for S3 (Access Analyzer per S3).

  3. Per verificare se l'accesso pubblico o l'accesso condiviso è concesso tramite una policy di bucket, una ACL di bucket, una policy del punto di accesso multi-regione o una policy del punto di accesso, cerca nella colonna Shared through (Condiviso tramite).

  4. In Buckets (Bucket) scegli il nome del bucket con la policy di bucket, l'ACL di bucket, la policy del punto di accesso multi-regione o la policy del punto di accesso che desideri modificare o esaminare.

  5. Se si desidera modificare o visualizzare una ACL di bucket:

    1. Seleziona Autorizzazioni.

    2. Scegliere Access Control List (Lista di controllo accessi).

    3. Esaminare l'ACL di bucket e apportare le modifiche necessarie.

      Per ulteriori informazioni, consulta Configurazione ACLs.

  6. Se si desidera modificare o rivedere una policy di bucket:

    1. Seleziona Autorizzazioni.

    2. Scegli Bucket Policy (Policy del bucket).

    3. Esaminare o modificare la policy di bucket come richiesto.

      Per ulteriori informazioni, consulta Aggiunta di una policy di bucket utilizzando la console di Amazon S3.

  7. Se desideri esaminare o modificare una policy del punto di accesso multi-regione:

    1. Scegli Multi-Region Access Point (Punto di accesso multi-regione).

    2. Scegli il nome del punto di accesso multi-regione.

    3. Esamina o modifica la policy del punto di accesso multi-regione come necessario.

      Per ulteriori informazioni, consulta Autorizzazioni.

  8. Se si desidera rivedere o modificare una policy del punto di accesso:

    1. Scegli Access Point per bucket generici o Access Point per bucket di directory.

    2. Scegliere il nome del punto di accesso.

    3. Esaminare o modificare l'accesso in base alle esigenze.

      Per ulteriori informazioni, consulta Gestione dei punti di accesso Amazon S3 per bucket generici.

    Se si modifica o si rimuove una ACL di bucket, una policy di bucket o una policy del punto di accesso per rimuovere l'accesso pubblico o condiviso, lo stato dei risultati del bucket viene aggiornato in resolved (risolto). I risultati dei bucket risolti scompaiono dall'elenco di IAM Access Analyzer for S3, ma è possibile visualizzarli in IAM Access Analyzer.

Archiviazione dei risultati del bucket

Se un bucket consente l'accesso al pubblico o ad altri utenti Account AWS, inclusi account esterni all'organizzazione, per supportare un caso d'uso specifico (ad esempio, un sito Web statico, download pubblici o condivisione tra account), puoi archiviare i risultati relativi al bucket. Quando archivi i risultati del bucket, confermi e registri l'intenzione che il bucket rimanga pubblico o condiviso. I risultati del bucket archiviati rimangono nell'elenco di IAM Access Analyzer per S3 in modo da sapere sempre quali bucket sono pubblici o condivisi.

Per archiviare i risultati del bucket in IAM Access Analyzer per S3

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel pannello di navigazione, scegli IAM Access Analyzer for S3.

  3. In IAM Access Analyzer per S3, scegli un bucket attivo.

  4. Per confermare la tua intenzione di consentire l'accesso a questo bucket da parte del pubblico o di altri utenti Account AWS, inclusi gli account esterni alla tua organizzazione, scegli Archivia.

  5. Immettere confirm e scegliere Archive (Archivia).

Attivazione di un risultato di bucket archiviato

Dopo aver archiviato i risultati, è sempre possibile esaminarli e modificarne lo stato attivo, indicando che il bucket richiede un'altra revisione.

Per attivare un risultato di bucket archiviato in IAM Access Analyzer per S3

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione scegliere Access analyzer for S3 (Access Analyzer per S3).

  3. Scegliere i risultati del bucket archiviati.

  4. Scegliere Mark as active (Contrassegna come attivo).

Visualizzazione dei dettagli del risultato

Se hai bisogno di visualizzare ulteriori informazioni su un risultato, puoi aprire i dettagli relativi alla ricerca del bucket in IAM Access Analyzer sulla console IAM.

Per visualizzare i dettagli dei risultati in IAM Access Analyzer per S3

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione scegliere Access analyzer for S3 (Access Analyzer per S3).

  3. In IAM Access Analyzer per S3, scegli un bucket.

  4. Seleziona View Details (Visualizza dettagli).

    I dettagli della ricerca si aprono in IAM Access Analyzer sulla console IAM.

Download di un report IAM Access Analyzer per S3

Puoi scaricare i risultati del bucket come report CSV che è possibile utilizzare per scopi di audit. Il report include le stesse informazioni visualizzate in IAM Access Analyzer per S3 sulla console di Amazon S3.

Per scaricare un report

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione a sinistra scegliere Access analyzer for S3 (Access Analyzer per S3).

  3. Nel filtro Region (Regione) scegliere Region (Regione).

    IAM Access Analyzer per S3 viene aggiornato per mostrare i bucket per la regione scelta.

  4. Scegliere Download report (Scarica report).

    Un report CSV viene generato e salvato sul computer.