Ir para o conteúdo
Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post
sobre o re:Post

Como faço para recuperar acesso ao meu bucket do Amazon S3 depois de negar acidentalmente o acesso a todos?

4 minuto de leitura
0

Configurei incorretamente minha política de bucket para negar todos os acessos ao meu bucket do Amazon Simple Storage Service (Amazon S3).

Resolução

Importante: por motivos de segurança e privacidade, o AWS Support não tem acesso aos dados do cliente e não pode acessar uma política de bucket em seu nome. Se você não conseguir recuperar o acesso ao seu bucket do S3, o AWS Support não poderá recuperá-lo. Para obter mais informações sobre segurança de dados, consulte Modelo de responsabilidade compartilhada.

Você não atende às condições da política de bucket

Se você não atender às condições da política de bucket, conclua as etapas a seguir para recuperar o acesso ao seu bucket do Amazon S3:

  1. Faça login no Console de Gerenciamento da AWS como usuário-raiz da conta da AWS.
    Importante: não use o usuário-raiz da conta para tarefas diárias. Use as credenciais do usuário-raiz somente para tarefas que exijam que você faça login como usuário-raiz. As credenciais do usuário-raiz não são as mesmas de um usuário ou perfil do AWS Identity Access Management (IAM) que tenha acesso de administrador. Além disso, não é possível anexar políticas do IAM com permissões Permitir ou Negar à conta do usuário-raiz. É uma prática recomendada de segurança que o administrador da conta altere periodicamente a senha do usuário-raiz da conta.
  2. Abra o console do Amazon S3.
  3. Navegue até o bucket configurado incorretamente.
  4. Escolha a guia Permissões.
  5. Em Política de bucket, escolha Editar.
  6. Na política do bucket, identifique e exclua as condições que resultaram no bloqueio do bucket.
  7. Escolha Salvar alterações.
  8. Saia do Console de Gerenciamento da AWS.

Depois de modificar a política do bucket como usuário-raiz da conta, um usuário do IAM com acesso ao bucket pode aplicar a política de bucket corrigida. Para obter mais informações, consulte Exemplos de políticas de bucket do Amazon S3 e Adicionar uma política de bucket usando o console do Amazon S3.

Você atende às condições da política de bucket

Se você atender às condições da política de bucket, mas não puder usar a conta de usuário-raiz, modifique a política.

Para recuperar o acesso ao seu bucket, conclua as etapas a seguir:

  1. Consulte a política de bucket para determinar as condições do bucket que você atende.
  2. Se houver condições de política de bucket que você não atenda, conclua todas as ações necessárias para que a política seja avaliada como true. Veja a seguir exemplos de condições de política de bucket que podem bloquear o acesso ao bucket do S3: 
    Você não permitiu listar o endereço IP do cliente.
    Você não permitiu listar o endpoint de nuvem privada virtual (VPC).
    Você fez a solicitação de dentro da VPC, mas a VPC não tem um endpoint Amazon S3.
    A condição Deny bloqueia a entidade principal e não contém um bloco de condições.
  3. Depois de recuperar o acesso, identifique e exclua as condições que resultaram no bloqueio do bucket.
  4. Teste as alterações para confirmar se o nível de controle de acesso está correto.

Contas de membros do AWS Organizations

Se você usa o AWS Organizations, as contas dos membros podem recuperar o acesso aos buckets do Amazon S3 bloqueados acidentalmente.

Para recuperar o acesso ao seu bucket do S3, execute uma ação privilegiada em uma conta de membro e exclua a política de bucket configurada incorretamente. Em seguida, adicione uma política de bucket válida.

Para mais informações, consulte Gerenciamento centralizado do acesso raiz para clientes que usam o AWS Organizations.

Use o CloudTrail para encontrar o nome e a política do bucket

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de problemas da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Se você não conhece a política que aplicou ao bucket antes do bloqueio, use o AWS CloudTrail para analisar o evento.

Para pesquisar ações recentes da API PutBucketPolicy na conta, é possível usar o console do CloudTrail ou a AWS CLI.

Console do CloudTrail

Conclua as etapas a seguir:

  1. Abra o console do CloudTrail.
  2. No painel de navegação, selecione Histórico de eventos.
  3. Na página Histórico de eventos, em Atributos de pesquisa, escolha Nome do evento.
  4. No painel de pesquisa Inserir um nome de evento, escolha PutBucketPolicy e pressione Enter.
  5. Escolha o evento mais recente e revise os detalhes. O evento mostra os parâmetros de solicitação e resposta que incluem o nome e a política do bucket.

AWS CLI

Execute o comando put-bucket-policy:

aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=PutBucketPolicy --region example-region

Observação: substitua example-region pelo sua região da AWS.

Tópicos
Storage
Tags
Amazon Simple Storage Service
Idioma
Português

Vídeos relacionados

Assista ao vídeo de Karan para saber mais (3:06)
Assista ao vídeo de Karan para saber mais (3:06)
AWS OFICIALAtualizada há um ano
Sem comentários

Conteúdo relevante