Comment savoir quels compartiments S3 sont accessibles depuis Internet ?

Résolution

Pour vérifier si des compartiments S3 sont accessibles au public, utilisez l'une des méthodes suivantes :

• Utilisez la console Amazon S3 pour configurer les paramètres d'accès public.
• Utilisez AWS Trusted Advisor pour vérifier les autorisations des compartiments Amazon S3.
• Utilisez Access Analyzer pour configurer des alertes pour les compartiments accessibles au public.

Si votre compte AWS contient un grand nombre de compartiments S3, AWS Config peut vous fournir une méthode plus efficace. Les règles AWS Config vous permettent d'identifier rapidement quels compartiments autorisent un accès public en lecture ou en écriture. Vous pouvez également configurer AWS Config pour qu'il vous avertisse si des compartiments S3 deviennent accessibles au public après votre examen initial.

Pour créer des règles AWS Config qui signalent les compartiments S3 accessibles au public, procédez comme suit :

Remarque : Avant d'utiliser AWS Config pour analyser vos compartiments S3, veillez à configurer AWS Config sur votre compte AWS.

1. Ouvrez la console AWS Config et définissez le sélecteur de région sur une région AWS qui prend en charge les règles AWS Config.
   Remarque : AWS Config effectue le contrôle de conformité pour les compartiments de la région AWS correspondante. Si vous avez des compartiments dans plusieurs régions, configurez les règles AWS Config dans chaque région.
2. Dans le volet de navigation, choisissez Règles.
3. Sélectionnez + Ajouter une règle.
4. Dans la barre de recherche, saisissez s3-bucket-public-read-prohibited. Ensuite, choisissez la règle s3-bucket-public-read-prohibited. Cette règle signale les compartiments qui autorisent l'accès public en lecture comme étant non conformes.
5. Sélectionnez Enregistrer.
6. Choisissez + Ajouter une règle.
7. Dans la barre de recherche, saisissez s3-bucket-public-write-prohibited. Ensuite, choisissez la règle s3-bucket-public-write-prohibited. Cette règle signale les compartiments qui autorisent l'accès public en écriture comme étant non conformes.
8. Sélectionnez Enregistrer.

AWS Config peut mettre plusieurs minutes à terminer l'évaluation de vos compartiments S3 en fonction des nouvelles règles. Une fois l'évaluation d'AWS Config terminée, ouvrez la page Règles depuis la console AWS Config. Ouvrez ensuite chaque règle pour voir quels compartiments S3 sont signalés comme non conformes. Les compartiments non conformes sont ceux qui autorisent un accès public en écriture ou en lecture depuis Internet.

Pour configurer les notifications depuis AWS Config lorsqu'un compartiment S3 devient non conforme, consultez la rubrique Notifications envoyées par AWS Config à une rubrique Amazon SNS.

Pour plus d'informations sur la définition des autorisations des compartiments S3, consultez la section Gestion des identités et des accès dans Amazon S3.

Informations connexes

Évaluation de ressources à l'aide de règles AWS Config