Wie kann ich wieder auf meinen Amazon-S3-Bucket zugreifen, nachdem ich versehentlich allen den Zugriff verweigert habe?

Lesedauer: 5 Minute

Ich habe meine Bucket-Richtlinie falsch konfiguriert, um allen den Zugriff auf meinen Amazon Simple Storage Service (Amazon S3)-Bucket zu verweigern.

Lösung

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Wichtig: Aus Sicherheits- und Datenschutzgründen hat der AWS-Support keinen Zugriff auf Kundendaten und kann nicht in deinem Namen auf eine Bucket-Richtlinie zugreifen. Wenn du es nicht schaffst, den Zugriff auf deinen S3-Bucket wiederzuerlangen, kann der AWS-Support ihn nicht wiederherstellen. Weitere Informationen zur Datensicherheit findest du unter Modell übergreifender Verantwortlichkeit.

Was tun, wenn du die Bedingungen der Bucket-Richtlinie nicht erfüllst

Wenn du die Bedingungen der Bucket-Richtlinie nicht erfüllst, gehe wie folgt vor, um wieder Zugriff auf den Amazon-S3-Bucket zu erhalten:

Melde dich bei der AWS-Managementkonsole als Root-Benutzer:in des AWS-Kontos an.
Wichtig: Verwende den/die Root-Benutzer:in des Kontos nicht für Routineaufgaben. Verwende die Anmeldeinformationen des Root-Benutzers nur für Aufgaben, bei denen du dich als Root-Benutzer:in anmelden musst. Die Anmeldeinformationen des Root-Benutzers sind nicht identisch mit denen eines AWS-Identity-Access-Management (IAM)-Benutzers oder einer IAM-Rolle mit Administratorzugriff. Außerdem kannst du dem Root-Benutzerkonto keine IAM-Richtlinien mit den Berechtigungen Zulassen oder Verweigern zuordnen. Es ist eine bewährte Sicherheitsmethode für den/die Kontoadministrator:in, das Passwort für den/die Root-Benutzer:in des Kontos regelmäßig zu ändern.
Öffne die Amazon-S3-Konsole.
Navigiere zum falsch konfigurierten Bucket.
Wähle die Registerkarte Berechtigungen aus.
Wähle unter Bucket-Richtlinie die Option Bearbeiten aus.
Identifiziere und lösche in der Bucket-Richtlinie die Bedingungen, die zur Bucket-Sperre geführt haben.
Wähle Änderungen speichern.
Melde dich von der AWS-Managementkonsole ab.

Nachdem du die Bucket-Richtlinie als Root-Benutzer:in des Kontos geändert hast, kann ein(e) IAM-Benutzer:in mit Bucket-Zugriff die berichtigte Bucket-Richtlinie anwenden. Weitere Informationen findest du unter Beispiele für die Amazon-S3-Bucket-Richtlinien und Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon-S3-Konsole.

Was tun, wenn du die Bedingungen der Bucket-Richtlinie erfüllst

Wenn du die Zugriffsschritte ändern kannst, um die Bedingungen in der Bucket-Richtlinie zu erfüllen, kannst du den Zugriff ohne das Root-Benutzerkonto wieder erlangen. Nachdem du Zugriff erhalten hast, ändere die Richtlinie, um die Bedingungen zu entfernen, die den Zugriff für dich und andere Benutzer blockiert haben.

Gehe wie folgt vor, um wieder Zugriff auf deinen Bucket zu erhalten:

Besorge dir eine Kopie der Bucket-Richtlinie. Du erhältst diese aus den CloudTrail-Datensätzen, von einem Teammitglied, das noch Zugriff hat, oder mit Hilfe des AWS-Supports.

Wenn es Bucket-Richtlinienbedingungen gibt, die du nicht erfüllst, führe alle erforderlichen Aktionen aus, damit die Richtlinie als wahr eingestuft wird. Im Folgenden findest du Beispiele für Bucket-Richtlinienbedingungen, die den S3-Bucket-Zugriff blockieren können, sowie Aktionen, um Zugriff zu erhalten:

Bedingungstyp	Aktion
Liste zugelassener IP-Adressen (aws:SourceIP)	Stelle eine Verbindung von einer zulässigen IP-Adresse her oder verwende VPN.
Amazon Virtual Private Cloud (Amazon VPC) (aws:sourceVpc)	Stelle eine Anfrage innerhalb der angegebenen Amazon VPC.
Amazon-VPC-Endpunkt (aws:sourceVpce)	Stelle eine Anfrage mit dem richtigen Endpunkt.
Anforderung an die Multi-Faktor-Authentifizierung (MFA) (aws:MultiFactorAuthPresent)	Deaktiviere die MFA-Authentifizierung und verwende sie.
Der Bedingungsblock in der Zugriffsverweigerungsanweisung fehlt	Verwende den Root-Benutzerzugriff.

Nachdem du den Zugriff wiedererlangt hast, identifiziere und lösche die Bedingungen, die zur Sperrung des Buckets geführt haben.
Teste die Änderungen, um dich zu vergewissern, dass die Zugriffskontrollstufe korrekt ist.

Mitgliedskonten von AWS Organizations

Wenn du AWS Organizations verwendest, können Mitgliedskonten wieder Zugriff auf versehentlich gesperrte Amazon-S3-Buckets erlangen.

Um wieder Zugriff auf den S3-Bucket zu erlangen, führe eine privilegierte Aktion für ein Mitgliedskonto aus und lösche die falsch konfigurierte Bucket-Richtlinie. Füge danach eine gültige Bucket-Richtlinie hinzu.

Weitere Informationen findest du unter Zentrale Verwaltung des Root-Zugriffs für Kunden, die AWS Organizations verwenden.

CloudTrail verwenden, um den Bucket-Namen und die Bucket-Richtlinie zu finden

Wenn du die Richtlinie, die du vor der Sperrung auf den Bucket angewendet hast, nicht kennst, überprüfe das Ereignis mit AWS CloudTrail. Um im Konto nach aktuellen PutBucketPolicy-API-Aktionen zu suchen, verwende die CloudTrail-Konsole oder die AWS CLI.

Hinweis: Der CloudTrail-Ereignisverlauf deckt die Ereignisse der letzten 90 Tage ab. Du kannst CloudTrail so konfigurieren, dass Verwaltungsereignisprotokolle an einen Amazon-S3-Bucket gesendet werden, um einen längeren Datensatz zu erhalten. Um eine Aufzeichnung einer PutBucketPolicy-Aktion zu erhalten, die mehr als 90 Tage zurückliegt, musst du die CloudTrail-Protokolle in Amazon S3 abfragen.

Gehe wie folgt vor, um CloudTrail in der Konsole zu verwenden:

Öffne die CloudTrail-Konsole.
Wähle im Navigationsbereich die Option Ereignisverlauf aus.
Wähle auf der Seite Ereignisverlauf unter Suchattribute die Option Ereignisname aus.
Wähle im Suchbereich Geben Sie einen Ereignisnamen ein die Option PutBucketPolicy aus und drücke dann die Eingabetaste.
Wähle das neueste Ereignis aus und überprüfe die Details. Das Ereignis zeigt die Anfrage- und Antwortparameter an, einschließlich des Bucket-Namens und der Bucket-Richtlinie.

Um CloudTrail über die AWS CLI zu verwenden, führe den folgenden Befehl put-bucket-policy aus:

aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=PutBucketPolicy --region example-region

Hinweis: Ersetze example-region durch deine AWS-Region.

Themen: Storage
Tags: Amazon Simple Storage Service
Sprache: Deutsch

Relevanter Inhalt

Ich habe den öffentlichen Zugriff auf die ACL meines Buckets mithilfe der Amazon S3-Konsole aktiviert. Steht mein Bucket allen offen?
AWS OFFICIALAktualisiert vor 4 Jahren
Warum ist meine statische Website auf Amazon S3 immer noch über öffentliche IP-Adressen zugänglich, obwohl ich den Zugriff auf eine bestimmte Amazon VPC eingeschränkt habe?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie erlaube ich nur bestimmten VPC-Endpunkten oder IP-Adressen den Zugriff auf meinen Amazon S3-Bucket?
AWS OFFICIALAktualisiert vor 6 Monaten
Warum erhalte ich die Fehlermeldung Zugriff verweigert, wenn ich versuche, mit einem AWS-SDK auf Amazon S3 zuzugreifen?
AWS OFFICIALAktualisiert vor 4 Jahren