Comment débloquer l'accès à mon compartiment Amazon S3 après avoir accidentellement refusé l'accès à tout le monde ?

Résolution

Important : Pour des raisons de sécurité et de confidentialité, AWS Support n'a pas accès aux données client et ne peut pas accéder à une politique de compartiment en votre nom. Si vous ne pouvez pas accéder de nouveau à votre compartiment S3, AWS Support ne pourra pas le récupérer. Pour plus d'informations sur la sécurité des données, consultez la section Modèle de responsabilité partagée.

Vous ne remplissez pas les conditions de la politique de compartiment

Si vous ne remplissez pas les conditions de la politique de compartiment, suivez les étapes suivantes pour accéder de nouveau à votre compartiment Amazon S3 :

1. Connectez-vous à la console de gestion AWS en tant qu'utilisateur racine du compte.
   Important : N'utilisez pas l'utilisateur racine pour les tâches quotidiennes. Utilisez les informations d'identification du compte utilisateur racine uniquement pour les tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur racine. Les informations d'identification du compte utilisateur racine ne sont pas les mêmes que celles d'un utilisateur ou d'un rôle Gestion des identités et des accès AWS (AWS IAM) doté d'un accès administrateur complet. En outre, vous ne pouvez pas associer des politiques IAM comportant des autorisations Autoriser ou Refuser au compte de l’utilisateur racine. Il est recommandé à l'administrateur du compte de modifier régulièrement le mot de passe de l'utilisateur racine du compte.
2. Ouvrez la console Amazon S3.
3. Accédez au compartiment mal configuré.
4. Choisissez l’onglet Autorisations.
5. Dans Politique de compartiment, sélectionnez Modifier.
6. Dans la politique de compartiment, identifiez les conditions qui ont entraîné le verrouillage du compartiment.
7. Sélectionnez Enregistrer les modifications.
8. Déconnectez-vous de la console de gestion AWS.

Une fois que vous avez modifié la politique de compartiment en tant qu'utilisateur racine du compte, un utilisateur IAM ayant accès au compartiment peut appliquer la politique de compartiment corrigée. Pour en savoir plus, consultez les pages Exemples de politiques de compartiment Amazon S3 et Ajout d'une politique de compartiment à l'aide de la console Amazon S3.

Vous remplissez les conditions de la politique de compartiment

Si vous remplissez les conditions énoncées dans les conditions de la politique de compartiment mais que vous ne pouvez pas utiliser le compte utilisateur racine, modifiez la politique.

Pour accéder de nouveau à votre compartiment, procédez comme suit :

1. Examinez la politique de compartiment pour déterminer les conditions de votre compartiment que vous remplissez.
2. Si vous ne remplissez pas certaines conditions de la politique de compartiment, effectuez toutes les actions requises afin que la politique soit évaluée comme vraie. Consultez les exemples suivants de conditions de politique de compartiment pouvant bloquer l'accès au compartiment S3 : 
   Vous n'avez pas autorisé l'adresse IP du client.
   Vous n'avez pas autorisé le point de terminaison du cloud privé virtuel (VPC).
   La requête est émise depuis le VPC, mais celui-ci ne possède pas de point de terminaison Amazon S3.
   La condition Refuser bloque les principaux et ne contient pas de bloc de conditions.
3. Une fois l'accès rétabli, identifiez et supprimez les conditions qui ont entraîné le verrouillage du compartiment.
4. Testez les modifications pour vérifier que le niveau de contrôle d'accès est correct.

Comptes membres d'AWS Organizations

Si vous utilisez AWS Organizations, les comptes membres peuvent accéder de nouveau à des compartiments Amazon S3 verrouillés accidentellement.

Pour accéder de nouveau à votre compartiment S3, effectuez une action privilégiée sur un compte membre et supprimez la politique de compartiment incorrectement configurée. Ajoutez ensuite une politique de compartiment valide.

Pour plus d'informations, consultez la section Gestion centralisée de l'accès racine pour les clients utilisant AWS Organizations.

Utiliser CloudTrail pour trouver le nom et la politique de compartiment

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'interface.

Si vous ne connaissez pas la politique que vous avez appliquée au compartiment avant le verrouillage, utilisez AWS CloudTrail pour consulter l'événement.

Pour rechercher les actions récentes de l'API PutBucketPolicy dans le compte, vous pouvez utiliser la console CloudTrail ou l'AWS CLI.

Console CloudTrail

Procédez comme suit :

1. Ouvrez la console CloudTrail.
2. Dans le volet de navigation, sélectionnez Historique des événements.
3. Sur la page Historique des événements, sous Attributs de recherche, choisissez Nom de l'événement.
4. Dans le volet de recherche Saisissez un nom d’événement, choisissez PutBucketPolicy et appuyez sur Saisir.
5. Choisissez l'événement le plus récent et consultez les détails de l'événement. L'événement affiche les paramètres de requête et de réponse, y compris le nom et la politique de compartiment.

AWS CLI

Exécutez la commande put-bucket-policy :

aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=PutBucketPolicy --region example-region

Remarque : Remplacez example-region par votre région AWS.