Comment débloquer l'accès à mon compartiment Amazon S3 après avoir accidentellement refusé l'accès à tout le monde ?

Lecture de 6 minute(s)

J'ai accidentellement configuré ma stratégie de compartiment pour refuser à tous les utilisateurs l'accès à mon compartiment Amazon Simple Storage Service (Amazon S3).

Résolution

Remarque : si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'AWS CLI.

Important : pour des raisons de sécurité et de confidentialité, AWS Support n'a pas accès aux données client et ne peut pas accéder à une stratégie de compartiment en votre nom. Si vous ne pouvez pas accéder de nouveau à votre compartiment S3, AWS Support ne pourra pas le récupérer. Pour plus d'informations sur la sécurité des données, consultez la section Modèle de responsabilité partagée.

Que faire lorsque vous ne remplissez pas les conditions de la stratégie de compartiment

Si vous ne remplissez pas les conditions de la stratégie de compartiment, suivez les étapes suivantes pour accéder de nouveau à votre compartiment Amazon S3 :

Connectez-vous à la console de gestion AWS en tant qu'utilisateur racine du compte.
Important : n'utilisez pas l'utilisateur racine pour les tâches quotidiennes. Utilisez les informations d'identification du compte utilisateur racine uniquement pour les tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur racine. Les informations d'identification du compte utilisateur racine ne sont pas les mêmes que celles d'un utilisateur ou d'un rôle Gestion des identités et des accès AWS (AWS IAM) doté d'un accès administrateur complet. En outre, vous ne pouvez pas associer des politiques IAM comportant des autorisations Autoriser ou Refuser au compte de l’utilisateur racine. Il est recommandé à l'administrateur du compte de modifier régulièrement le mot de passe de l'utilisateur racine du compte.
Ouvrez la console Amazon S3.
Accédez au compartiment mal configuré.
Choisissez l’onglet Autorisations.
Dans Stratégie de compartiment, sélectionnez Modifier.
Dans la stratégie de compartiment, identifiez les conditions qui ont entraîné le verrouillage du compartiment.
Sélectionnez Enregistrer les modifications.
Déconnectez-vous de la console de gestion AWS.

Une fois que vous avez modifié la stratégie de compartiment en tant qu'utilisateur racine du compte, un utilisateur IAM ayant accès au compartiment peut appliquer la stratégie de compartiment corrigée. Pour en savoir plus, consultez les pages Exemples de stratégies de compartiment Amazon S3 et Ajout d'une stratégie de compartiment à l'aide de la console Amazon S3.

Que faire lorsque vous remplissez les conditions de la stratégie de compartiment

Si vous pouvez modifier vos étapes d'accès pour répondre aux conditions de la stratégie de compartiment, vous pouvez rétablir l'accès sans le compte utilisateur racine. Une fois que vous avez obtenu l'accès, modifiez la stratégie pour supprimer les conditions qui bloquaient l'accès pour vous et les autres utilisateurs.

Pour accéder de nouveau à votre compartiment, procédez comme suit :

Obtenez une copie de la stratégie de compartiment. Vous pouvez l'obtenir auprès des enregistrements CloudTrail, auprès d'un membre de l'équipe qui y a toujours accès, ou avec l’aide d’ AWS Support.

Si vous ne remplissez pas certaines conditions de la stratégie de compartiment, effectuez toutes les actions requises afin que la politique soit évaluée comme vraie. Consultez les exemples suivants de conditions de stratégie de compartiment pouvant bloquer l'accès au compartiment S3 ainsi que les actions pour obtenir un accès :

Type de condition	Action
Liste des adresses IP autorisées (aws:SourceIP)	Connectez-vous à partir d'une adresse IP autorisée ou utilisez un VPN.
Amazon Virtual Private Cloud (Amazon VPC) (aws:sourceVpc)	Effectuez une demande depuis l'Amazon VPC spécifié.
Point de terminaison Amazon VPC (aws:sourceVpce)	Soumettez une demande avec le point de terminaison correct.
Exigence d'authentification multifactorielle (MFA) (aws:MultiFactorAuthPresent)	Activez et utilisez l'authentification MFA.
Le bloc de condition dans l'instruction de rejet est manquant	Utilisez l'accès utilisateur racine.

Une fois l'accès rétabli, identifiez et supprimez les conditions qui ont entraîné le verrouillage du compartiment.
Testez les modifications pour vérifier que le niveau de contrôle d'accès est correct.

Comptes membres d'AWS Organizations

Si vous utilisez AWS Organizations, les comptes membres peuvent accéder de nouveau à des compartiments Amazon S3 verrouillés accidentellement.

Pour accéder de nouveau à votre compartiment S3, effectuez une action privilégiée sur un compte membre et supprimez la stratégie de compartiment incorrectement configurée. Ajoutez ensuite une stratégie de compartiment valide.

Pour plus d'informations, consultez la section Gestion centralisée de l'accès racine pour les clients utilisant AWS Organizations.

Utiliser CloudTrail pour trouver le nom et la stratégie de compartiment

Si vous ne connaissez pas la stratégie que vous avez appliquée au compartiment avant le verrouillage, utilisez AWS CloudTrail pour consulter l'événement. Pour rechercher les actions récentes de l'API PutBucketPolicy dans le compte, vous pouvez utiliser la console CloudTrail ou l'AWS CLI.

Remarque : l'historique des événements CloudTrail couvre les 90 derniers jours d'événements. Vous pouvez configurer CloudTrail pour envoyer les journaux des événements de gestion à un compartiment Amazon S3 afin d'obtenir un enregistrement plus long. Pour obtenir l'enregistrement d'une action PutBucketPolicy survenue il y a plus de 90 jours, vous devez interroger les journaux CloudTrail dans Amazon S3.

Pour utiliser CloudTrail dans la console, procédez comme suit :

Ouvrez la console CloudTrail.
Dans le volet de navigation, sélectionnez Historique des événements.
Sur la page Historique des événements, sous Attributs de recherche, choisissez Nom de l'événement.
Dans le volet de recherche Saisissez un nom d’événement, choisissez PutBucketPolicy et appuyez sur Saisir.
Choisissez l'événement le plus récent et consultez les détails de l'événement. L'événement affiche les paramètres de requête et de réponse, y compris le nom et la stratégie de compartiment.

Pour utiliser CloudTrail via l'AWS CLI, exécutez la commande put-bucket-policy suivante :

aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=PutBucketPolicy --region example-region

Remarque : remplacez example-region par votre région AWS.

Sujets: Storage
Balises: Amazon Simple Storage Service
Langue: Français

Vidéos associées

Regarder la vidéo de Karan pour en savoir plus (3:06)

AWS OFFICIELA mis à jour il y a 5 mois

Aucun commentaire

Contenus pertinents

Règle de cycle de vie pour transition de stockage S3 à S3 glacier
HoubaHoubi
demandé il y a un an
AWS SES Bloqué suite à un problème critique lié à votre envoi d'e-mails
rePost-User-2050300
demandé il y a 2 ans
Désactiver le chiffrement côté serveur sur Amazon S3
rePost-User-6017646
demandé il y a 3 ans
Comment changer une région aws pour un compartiment déjà créé ?
RAV3D
demandé il y a 2 ans
Compartiment disparu
yeepp
demandé il y a 2 ans
Comment autoriser les utilisateurs à charger uniquement certains types de fichiers dans mon compartiment Amazon S3 ?
AWS OFFICIELA mis à jour il y a 6 mois
Comment puis-je autoriser uniquement des points de terminaison de VPC ou des adresses IP spécifiques à accéder à mon compartiment Amazon S3 ?
AWS OFFICIELA mis à jour il y a 6 mois
Comment réaliser un audit des objets supprimés ou manquants de mon compartiment Amazon S3 ?
AWS OFFICIELA mis à jour il y a 2 ans
J'ai activé l'accès public sur la liste ACL de mon compartiment à l'aide de la console Amazon S3. Mon compartiment est-il ouvert au public ?
AWS OFFICIELA mis à jour il y a 4 ans