Welche S3-Bucket-Richtlinie sollte ich verwenden, um die AWS Config-Regel s3-bucket-ssl-requests-only einzuhalten?

Lesedauer: 2 Minute
0

Ich habe die AWS Config-Regel „s3-bucket-ssl-requests-only“ aktiviert, um sicherzustellen, dass meine Amazon Simple Storage Service (Amazon S3)-Bucket-Richtlinien eine Verschlüsselung während der Datenübertragung erfordern. Ich möchte sicherstellen, dass meine Bucket-Richtlinien dieser Regel entsprechen.

Behebung

**Hinweis:**Amazon S3 bietet Verschlüsselung bei der Übertragung und Verschlüsselung im Ruhezustand. Verschlüsselung während der Übertragung bezieht sich auf HTTPS und Verschlüsselung im Ruhezustand bezieht sich auf clientseitige oder serverseitige Verschlüsselung.

Amazon S3 erlaubt sowohl HTTP- als auch HTTPS-Anfragen. Standardmäßig stellt Amazon S3 Anfragen über die AWS-Managementkonsole, die AWS Command Line Interface (AWS CLI) oder HTTPS.

Um die Regel s3-bucket-ssl-requests-only einzuhalten, überprüfen Sie, dass Ihre Bucket-Richtlinien den Zugriff auf HTTP-Anfragen ausdrücklich verweigern. Bucket-Richtlinien, die HTTPS-Anfragen zulassen, ohne HTTP-Anfragen ausdrücklich abzulehnen, entsprechen möglicherweise nicht der Regel.

Um HTTP- oder HTTPS-Anfragen in einer Bucket-Richtlinie zu ermitteln, verwenden Sie eine Bedingung, die nach dem Schlüssel "aws:SecureTransport" sucht. Wenn dieser Schlüssel wahr ist, sendet Amazon S3 die Anfrage über HTTPS. Um die Regel s3-bucket-ssl-requests-only einzuhalten, erstellen Sie eine Bucket-Richtlinie, die den Zugriff explizit verweigert, wenn die Anfrage die Bedingung "aws:SecureTransport": "false" erfüllt. Diese Richtlinie verweigert ausdrücklich den Zugriff auf HTTP-Anfragen.

Bucket-Richtlinie, die der Regel s3-bucket-ssl-requests-only entspricht

Diese Beispiel-Bucket-Richtlinie entspricht der Regel s3-bucket-ssl-requests-only. Diese Richtlinie verweigert ausdrücklich alle Aktionen für den Bucket und die Objekte, wenn die Anforderung die Bedingung „aws:secureTransport“: „false“ erfüllt.

{
  "Id": "ExamplePolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSSLRequestsOnly",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": [
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      },
      "Principal": "*"
    }
  ]
}

Bucket-Richtlinie, die nicht der Regel s3-bucket-ssl-requests-only entspricht

Diese Bucket-Richtlinie entspricht nicht der Regel s3-bucket-ssl-requests-only. Anstelle einer ausdrücklichen Deny-Anweisung ermöglicht die Richtlinie den Zugriff auf Anfragen, die die Bedingung „aws:SecureTransport“: „true“ erfüllen. Diese Anweisung ermöglicht den anonymen Zugriff auf s3:GetObject für alle Objekte im Bucket, wenn die Anfrage HTTPS verwendet. Vermeiden Sie diese Art von Bucket-Richtlinie, es sei denn, Ihr Anwendungsfall erfordert anonymen Zugriff über HTTPS:

{
  "Id": "ExamplePolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "NOT-RECOMMENDED-FOR__AWSCONFIG-Rule_s3-bucket-ssl-requests-only",
      "Action": "s3:GetObject",
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "true"
        }
      },
      "Principal": "*"
    }
  ]
}

Verwandte Informationen

So verwenden Sie Bucket-Richtlinien und wenden umfassende Verteidigungsmaßnahmen an, um Ihre Amazon S3-Daten zu schützen

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 6 Monaten