使用外部存取摘要檢閱外部存取 IAM Access Analyzer for S3 提供的資訊封鎖所有公開存取檢閱和變更儲存貯體存取存檔儲存貯體發現項目啟用存檔的儲存貯體檢視發現項目詳細資料下載 IAM Access Analyzer for S3 報告

使用 IAM Access Analyzer for S3 檢閱儲存貯體存取權

IAM Access Analyzer for S3 為您的 S3 一般用途儲存貯體提供外部存取調查結果，這些儲存貯體設定為允許存取網際網路（公有）或其他上的任何人 AWS 帳戶，包括在組織 AWS 帳戶外部。對於公開或與其他共用的每個儲存貯體 AWS 帳戶，您會在共用存取的來源和層級中收到調查結果。例如，IAM Access Analyzer for S3 可能會顯示具有透過儲存貯體存取控制清單 (ACL)、儲存貯體政策、多區域存取點政策或存取點政策提供之讀取或寫入存取權限的儲存貯體。使用這些問題清單，您可以採取立即且精確的更正動作，將儲存貯體存取還原成您想要的內容。

Amazon S3 主控台會在一般用途儲存貯體清單旁的 S3 主控台中提供外部存取摘要。在摘要中，您可以按一下每個的作用中問題清單 AWS 區域，以查看 IAM Access Analyzer for S3 頁面中問題清單的詳細資訊。外部存取摘要中的外部存取調查結果每 24 小時會自動更新一次。

檢閱允許公開存取的儲存貯體時，在 IAM Access Analyzer for S3 頁面上，只要按一下即可封鎖對儲存貯體的所有公開存取。建議您封鎖對儲存貯體的所有公開存取，除非您需要公開存取以支援特定使用案例。在封鎖所有公開存取之前，請確定您的應用程式在沒有公開存取的情況下可繼續正常運作。如需詳細資訊，請參閱封鎖對 Amazon S3 儲存體的公開存取權。

您還可以深入檢視儲存貯體的層級權限設定，以設定精細的存取層級。對於需要公開存取的特定和經驗證使用案例 (例如靜態網站託管、公開下載或跨帳戶共用)，您可以將對儲存貯體的發現項目存檔，以確認並記錄您要讓儲存貯體保持公開或共用。您可以隨時再次瀏覽和修改這些儲存貯體組態。您也可以將發現項目下載為 CSV 報告，供稽核之用。

您無需額外付費，即可在 Amazon S3 主控台上使用 IAM Access Analyzer for S3。IAM Access Analyzer for S3 採用 AWS Identity and Access Management (IAM) IAM Access Analyzer 技術。若要在 Amazon S3 主控台中使用 Amazon S3，您必須造訪 IAM 主控台，並根據區域建立外部存取分析器。

如需 IAM Access Analyzer 的詳細資訊，請參閱《IAM 使用者指南》中的什麼是 IAM Access Analyzer。如需 IAM Access Analyzer for S3 的詳細資訊，請參閱下列各節。

重要

IAM Access Analyzer for S3 會在您擁有儲存貯 AWS 區域體的每個中要求帳戶層級分析器。若要使用 IAM Access Analyzer for S3，您必須造訪 IAM Access Analyzer 並建立以帳戶作為信任區域的分析器。如需詳細資訊，請參閱《IAM 使用者指南》中的啟用 IAM Access Analyzer。
IAM Access Analyzer for S3 不會分析附加到跨帳戶存取點的存取點政策。發生此行為的原因是存取點及其政策位於信任區域 (亦即帳戶) 之外。如果您未將 RestrictPublicBuckets 封鎖公開存取設定套用至儲存貯體或帳戶，則將存取權委派給跨帳戶存取點的儲存貯體會列示在具有公開存取權的儲存貯體下。當您套用RestrictPublicBuckets封鎖公開存取設定時，儲存貯體會在具有其他存取的儲存貯體下報告 AWS 帳戶，包括第三方 AWS 帳戶。
新增或修改儲存貯體政策或儲存貯體 ACL 後，IAM Access Analyzer 會在 30 分鐘內根據變更產生並更新調查結果。在您變更設定後，最多可能有 6 小時的時間，與帳戶層級封鎖公開存取設定相關的發現項目不會產生或更新。建立、刪除多區域存取點或變更其政策後，最多可能有六小時的時間，與多區域存取點相關的發現項目不會產生或更新。

檢閱授予儲存貯體外部存取權的政策全域摘要

您可以使用外部存取摘要， AWS 帳戶直接從 S3 主控台檢視授予外部存取儲存貯體之政策的全域摘要。此摘要可協助您在允許公開存取或從其他存取的任何中識別 Amazon S3 一般用途儲存貯體 AWS 區域， AWS 帳戶而無需 AWS 區域個別檢查每個儲存貯體中的政策。

啟用 S3 的外部存取摘要和 IAM Access Analyzer

若要使用外部存取摘要和適用於 S3 的 IAM Access Analyzer，您必須完成下列先決條件步驟。

授予所需的許可。如需詳細資訊，請參閱《IAM 使用者指南》中的使用 IAM Access Analyzer 的必要許可。
前往 IAM 主控台，為要使用 IAM Access Analyzer 的每個區域建立帳戶層級分析器。

您可以透過建立具有帳戶作為 IAM 主控台信任區域的分析器，或使用 AWS CLI AWS SDKs來執行此操作。如需詳細資訊，請參閱《IAM 使用者指南》中的啟用 IAM Access Analyzer。

檢視允許外部存取的儲存貯體

外部存取摘要會顯示 IAM Access Analyzer for S3 為一般用途儲存貯體提供的外部存取問題清單和錯誤。未使用的存取的封存調查結果和調查結果不包含在摘要中，但可以在 IAM 主控台或 IAM Access Analyzer for S3 中檢視。如需詳細資訊，請參閱《IAM 使用者指南》中的檢視 IAM Access Analyzer 調查結果儀表板。

注意

外部存取摘要僅包含您每個的外部存取分析器調查結果 AWS 帳戶，而非您的 AWS Organization。

開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。
在左側導覽面板中，選擇一般用途儲存貯體。
展開外部存取摘要。主控台會顯示作用中的公有和跨帳戶存取問題清單。

注意
如果 S3 載入儲存貯體詳細資訊時發生問題，請重新整理一般用途儲存貯體清單，或在 IAM Access Analyzer for S3 中檢視問題清單。如需詳細資訊，請參閱使用 IAM Access Analyzer for S3 檢閱儲存貯體存取權。
若要檢視的問題清單或錯誤 AWS 區域，請選擇區域的連結。IAM Access Analyzer for S3 頁面會顯示可公開存取的儲存貯體名稱，或由其他儲存貯體存取 AWS 帳戶。如需詳細資訊，請參閱IAM Access Analyzer for S3 提供的資訊。

更新允許外部存取之儲存貯體的存取控制

開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。
在左側導覽面板中，選擇一般用途儲存貯體。
展開外部存取摘要。主控台會顯示可公開或其他存取之儲存貯體的作用中問題清單 AWS 帳戶。

注意
如果 S3 載入儲存貯體詳細資訊時發生問題，請重新整理一般用途儲存貯體清單，或在 IAM Access Analyzer for S3 中檢視問題清單。如需詳細資訊，請參閱使用 IAM Access Analyzer for S3 檢閱儲存貯體存取權。
若要檢視的問題清單或錯誤 AWS 區域，請選擇區域的連結。適用於 S3 的 IAM Access Analyzer 會顯示可公開存取或其他存取之儲存貯體的作用中問題清單 AWS 帳戶。

注意
外部存取摘要中的外部存取調查結果每 24 小時會自動更新一次。
若要封鎖儲存貯體的所有公有存取權，請參閱封鎖所有公開存取。若要變更儲存貯體存取，請參閱檢閱和變更儲存貯體存取。

IAM Access Analyzer for S3 提供的資訊

IAM Access Analyzer for S3 會提供可在 AWS 帳戶外部存取的儲存貯體調查結果。網際網路上的任何人都可以存取列於公開存取調查結果下的儲存貯體。如果 IAM Access Analyzer for S3 發現公有儲存貯體，則顯示區域中公有儲存貯體數量的頁面頂端也會出現警告。跨帳戶存取調查結果下列出的儲存貯體會有條件地與其他共用 AWS 帳戶，包括組織外部的帳戶。

IAM Access Analyzer for S3 會針對每個儲存貯體提供下列資訊：

儲存貯體名稱
共用方式 ‐ 指出儲存貯體是透過儲存貯體政策、儲存貯體 ACL、多區域存取點政策或存取點政策共用。多區域存取點和跨帳户存取點會在存取點下顯現。儲存貯體可透過政策和 ACL 共用。如果您要尋找並檢閱儲存貯體存取的來源，可以使用此欄中的資訊作為採取立即且精確的更正動作的起點。
狀態 ‐ 儲存貯體問題清單的狀態。IAM Access Analyzer for S3 會顯示所有公有和共用儲存貯體的調查結果。
- 作用中 ‐ 問題清單尚未經過檢閱。
- 已封存 ‐ 問題清單已如預期經過檢閱和確認。
- 全部 - 所有公有儲存貯體或與其他儲存貯體共用的問題清單 AWS 帳戶，包括組織 AWS 帳戶外部的問題清單。
存取層級 ‐ 授予儲存貯體的存取許可：
- 列出 ‐ 列出相關資源。
- 讀取 ‐ 讀取但不編輯資源內容和屬性。
- 寫入 ‐ 建立、刪除或修改資源。
- 許可 ‐ 授予或修改資源許可。
- 標記 ‐ 更新與資源相關聯的標籤。
外部委託人 - 您組織 AWS 帳戶外部可存取儲存貯體的。
資源控制政策 (RCP) 限制 - 適用於儲存貯體的資源控制政策 (RCP)，如適用。如需詳細資訊，請參閱資源控制政策 RCPs)。

封鎖所有公開存取

如果您想要按一下就封鎖對儲存貯體的所有存取，則可使用 IAM Access Analyzer for S3 中的封鎖所有公開存取按鈕。當您封鎖對儲存貯體的所有公開存取時，不會授予任何公開存取。除非您需要公開存取以支援特定和經驗證使用案例，否則建議您封鎖對儲存貯體的所有公開存取。在封鎖所有公開存取之前，請確定您的應用程式在沒有公開存取的情況下可繼續正常運作。

如果您不想封鎖對儲存貯體的所有公開存取，可以在 Amazon S3 主控台上編輯封鎖公開存取設定，為儲存貯體設定精細的存取層級。如需詳細資訊，請參閱封鎖對 Amazon S3 儲存體的公開存取權。

在極少數情況下，適用於 S3 的 IAM Access Analyzer 和 Amazon S3 封鎖公開存取評估可能會因儲存貯體是否為公有而有所不同。此行為是因為 Amazon S3 封鎖公有存取除了評估公有存取之外，還會對動作是否存在執行驗證。假設儲存貯體政策包含 Action陳述式，允許 Amazon S3 不支援之動作的公開存取（例如 s3:NotASupportedAction)。在此情況下，Amazon S3 封鎖公有存取會將儲存貯體評估為公有，因為如果稍後支援該動作，這類陳述式可能會使儲存貯體變成公有。如果 Amazon S3 封鎖公開存取和適用於 S3 的 IAM Access Analyzer 評估不同，建議您檢閱儲存貯體政策並移除任何不支援的動作。

使用 IAM Access Analyzer for S3 來封鎖對儲存貯體的所有公開存取

登入 AWS Management Console ，並在 https://console.aws.amazon.com/s3/：// 開啟 Amazon S3 主控台。
在左側的導覽窗格中，於 Dashboards (儀表板) 下，選擇 Access Analyzer for S3。
在 IAM Access Analyzer for S3 中，選擇某個儲存貯體。
選擇 Block all public access (封鎖所有公用存取)。
若要確認您要封鎖對儲存貯體的所有公開存取，請在 Block all public access (bucket settings) (封鎖所有公開存取 (儲存貯體設定)) 中輸入 confirm。

Amazon S3 隨即會封鎖對儲存貯體的所有公開存取。儲存貯體調查結果的狀態會更新為已解決，且該儲存貯體會從 IAM Access Analyzer for S3 清單中消失。如果您要檢閱已解決的儲存貯體，請在 IAM 主控台上開啟 IAM Access Analyzer。

檢閱和變更儲存貯體存取

如果您不打算授予公有或其他的存取權 AWS 帳戶，包括組織外部的帳戶，您可以修改儲存貯體 ACL、儲存貯體政策、多區域存取點政策或存取點政策，以移除對儲存貯體的存取權。Shared through (共用方式) 欄位會顯示儲存貯體存取的所有來源：儲存貯體政策、儲存貯體 ACL 及/或存取點政策。多區域存取點和跨帳户存取點會在存取點下顯現。

若要檢閱和變更儲存貯體政策、儲存貯體 ACL、多區域存取點或存取點政策

開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。
在導覽窗格中，選擇 Access Analyzer for S3。
若要查看公開存取或共用存取是否透過儲存貯體政策、儲存貯體 ACL、多區域存取點政策或存取點政策授予，請查看 Shared through (共用方式) 欄。
在 Buckets (儲存貯體) 底下，選擇具有要變更或檢閱之儲存貯體政策、儲存貯體 ACL、多區域存取點政策或存取點政策的儲存貯體名稱。
如果您要變更或檢視儲存貯體 ACL：
1. 選擇 Permissions (許可)。
2. 選擇 Access Control List (存取控制清單)。
3. 檢閱您的儲存貯體 ACL，並視需要進行變更。
  
  如需詳細資訊，請參閱設定 ACL。
如果您要變更或檢閱儲存貯體政策：
1. 選擇 Permissions (許可)。
2. 選擇 Bucket Policy (儲存貯體政策)。
3. 視需要檢閱或變更儲存貯體政策。
  
  如需詳細資訊，請參閱使用 Amazon S3 主控台新增儲存貯體政策。
如果您要變更或檢視多區域存取點政策：
1. 選擇 Multi-Region Access Point (多區域存取點)。
2. 選擇多區域存取點名稱。
3. 視需要檢閱或變更您的多區域存取點政策。
  
  如需詳細資訊，請參閱許可。
如果您要檢閱或變更存取點政策：
1. 選擇一般用途儲存貯體的存取點或目錄儲存貯體的存取點。
2. 選擇存取點名稱。
3. 視需要檢閱或變更存取權。
  
  如需詳細資訊，請參閱管理一般用途儲存貯體的 Amazon S3 存取點。
如果您編輯或移除儲存貯體 ACL、儲存貯體或存取點政策以移除公開或共用存取，儲存貯體發現項目的狀態會更新為已解決。已解決的儲存貯體調查結果會從 IAM Access Analyzer for S3 清單中消失，但您仍可在 IAM Access Analyzer 中檢視這些項目。

存檔儲存貯體發現項目

如果儲存貯體授予公有或其他的存取權 AWS 帳戶，包括組織外部的帳戶，以支援特定使用案例（例如靜態網站、公有下載或跨帳戶共用），您可以封存儲存貯體的問題清單。當您將儲存貯體發現項目存檔時，表示您確認並記錄要讓儲存貯體保持公開或共用。已封存的儲存貯體調查結果會保留在 IAM Access Analyzer for S3 清單中，以便您隨時掌握公有或共用的儲存貯體。

在 IAM Access Analyzer for S3 中封存儲存貯體調查結果

開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。
在導覽窗格中，選擇 IAM Access Analyzer for S3。
在 IAM Access Analyzer for S3 中，選擇作用中的儲存貯體。
若要確認公有或其他存取此儲存貯體的意圖 AWS 帳戶，包括組織外部的帳戶，請選擇封存。
輸入 confirm，然後選擇 Archive (存檔)。

啟用存檔的儲存貯體

將發現項目存檔之後，您一律可以重新瀏覽它們，並將其狀態變更回作用中，指出該儲存貯體需要另一次檢閱。

在 IAM Access Analyzer for S3 中啟用封存的儲存貯體調查結果

開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。
在導覽窗格中，選擇 Access Analyzer for S3。
選擇存檔的儲存貯體發現項目。
選擇 Mark as active (標記為作用中)。

檢視發現項目詳細資料

如果您需要查看有關調查結果的詳細資訊，您可以在 IAM 主控台的 IAM Access Analyzer 中開啟儲存貯體調查結果詳細資訊。

在 IAM Access Analyzer for S3 中檢視調查結果詳細資訊

開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。
在導覽窗格中，選擇 Access Analyzer for S3。
在 IAM Access Analyzer for S3 中，選擇某個儲存貯體。
請選擇 View Details (查看詳細資訊)。

系統隨即會在 IAM 主控台的 IAM Access Analyzer 中開啟調查結果詳細資訊。

下載 IAM Access Analyzer for S3 報告

您可以將儲存貯體發現項目下載為 CSV 報告，以供稽核之用。此報告包含的資訊與 Amazon S3 主控台的 IAM Access Analyzer for S3 所顯示的資訊相同。

下載報告

開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。
在左側的導覽窗格中，選擇 Access Analyzer for S3。
在地區篩選器中，選擇地區。

IAM Access Analyzer for S3 會隨即更新，進而顯示所選區域的儲存貯體。
選擇 Download report (下載報告)。

CSV 報告會產生並儲存至您的電腦。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

設定儲存貯體和存取點

驗證儲存貯體擁有權