Meninjau akses bucket menggunakan IAM Access Analyzer untuk S3 - Amazon Simple Storage Service
Informasi apa yang disediakan IAM Access Analyzer untuk S3?Mengaktifkan IAM Access Analyzer untuk S3Memblokir semua akses publikMeninjau dan mengubah akses bucketMengarsipkan temuan bucketMengaktifkan temuan bucket yang diarsipkanMelihat detail temuanMengunduh IAM Access Analyzer untuk laporan S3

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Meninjau akses bucket menggunakan IAM Access Analyzer untuk S3

IAM Access Analyzer for S3 memberi tahu Anda tentang bucket S3 yang dikonfigurasi untuk memungkinkan akses ke siapa pun di internet atau lainnya Akun AWS, termasuk di luar organisasi Anda. Akun AWS Untuk setiap bucket publik atau kelompok bersama, Anda menerima temuan ke dalam sumber dan tingkat akses publik atau bersama. Misalnya, IAM Access Analyzer untuk S3 mungkin menunjukkan bahwa suatu bucket telah membaca atau menulis akses yang disediakan melalui daftar kontrol akses (ACL) bucket, kebijakan titik akses Multi-Wilayah, atau kebijakan titik akses. Dengan temuan ini, Anda dapat segera mengambil tindakan korektif yang tepat untuk memulihkan akses bucket ke apa yang Anda inginkan.

Saat meninjau bucket berisiko dalam Penganalisis Akses IAM untuk S3, Anda dapat memblokir semua akses publik ke bucket dengan sekali klik. Kami menyarankan agar Anda memblokir semua akses ke bucket Anda, kecuali jika Anda memerlukan akses publik untuk mendukung kasus penggunaan tertentu. Sebelum memblokir semua akses publik, pastikan bahwa aplikasi Anda akan terus berfungsi dengan benar tanpa akses publik. Untuk informasi selengkapnya, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda.

Anda juga dapat menelusuri pengaturan izin tingkat bucket untuk mengonfigurasi tingkat akses granular. Untuk kasus penggunaan kustom dan terverifikasi yang memerlukan akses publik, seperti hosting situs web statis, unduhan publik, atau berbagi akun silang, Anda dapat mengenali dan mencatat maksud Anda agar bucket tetap publik atau berbagi dengan mengarsipkan temuan untuk bucket. Anda dapat mempertahankan dan memodifikasi konfigurasi bucket ini kapan saja. Anda juga dapat mengunduh temuan Anda dalam bentuk laporan CSV untuk keperluan audit.

IAM Access Analyzer untuk S3 tersedia tanpa biaya tambahan, yang berada di konsol Amazon S3. Penganalisis Akses IAM untuk S3 didukung oleh Penganalisis Akses IAM (IAM) AWS Identity and Access Management . Untuk menggunakan IAM Access Analyzer untuk S3 di konsol Amazon S3, Anda harus mengunjungi konsol IAM dan mengaktifkan IAM Access Analyzer secara per wilayah.

Untuk informasi selengkapnya tentang IAM Access Analyzer, lihat Apa itu IAM Access Analyzer? di Panduan Pengguna IAM. Untuk informasi lebih lanjut tentang IAM Access Analyzer untuk S3, tinjau bagian berikut.

penting

  • IAM Access Analyzer untuk S3 membutuhkan penganalisis tingkat akun. Untuk menggunakan IAM Access Analyzer untuk S3, Anda harus mengunjungi IAM Access Analyzer dan membuat analyzer yang memiliki akun sebagai zona kepercayaan. Untuk informasi selengkapnya, lihat Mengaktifkan IAM Access Analyzer di Panduan Pengguna IAM.

  • IAM Access Analyzer untuk S3 tidak menganalisis kebijakan titik akses yang dilampirkan ke titik akses lintas akun. Perilaku ini terjadi karena titik akses dan kebijakannya berada di luar zona kepercayaan, yaitu akun. Bucket yang mendelegasikan akses ke titik akses lintas akun tercantum di bawah Bucket dengan akses publik jika Anda belum menerapkan pengaturan blokir akses publik RestrictPublicBuckets ke bucket atau akun. Saat Anda menerapkan setelan RestrictPublicBuckets blokir akses publik, bucket dilaporkan di bawah Bucket dengan akses dari orang lain Akun AWS — termasuk pihak ketiga Akun AWS.

  • Ketika kebijakan bucket atau ACL bucket ditambahkan atau diubah, IAM Access Analyzer menghasilkan dan memperbarui temuan berdasarkan perubahan dalam waktu 30 menit. Temuan terkait dengan pengaturan akses publik blok tingkat akun tidak dapat dibuat atau diperbarui hingga 6 jam setelah Anda mengubah pengaturan. Temuan yang terkait dengan Titik Akses Multi-Wilayah mungkin tidak dibuat atau diperbarui hingga enam jam setelah Titik Akses Multi-Wilayah dibuat, dihapus, atau Anda mengubah kebijakannya.

Informasi apa yang disediakan IAM Access Analyzer untuk S3?

Penganalisis Akses untuk S3 menyediakan temuan untuk bucket yang dapat diakses di luar Akun AWS Anda. Bucket yang terdaftar Bucket dengan akses publik dapat diakses oleh siapa pun di internet. Jika Access Analyzer untuk S3 mengidentifikasi bucket publik, Anda juga melihat peringatan di bagian atas halaman yang menunjukkan jumlah bucket publik di Wilayah Anda. Bucket yang terdaftar di bawah Bucket dengan akses dari orang lain Akun AWS — termasuk pihak ketiga Akun AWS dibagikan secara kondisional dengan orang lain Akun AWS, termasuk akun di luar organisasi Anda.

Untuk setiap bucket, IAM Access Analyzer untuk S3 memberikan informasi berikut:

  • Nama Bucket

  • Ditemukan oleh Access Analyzer ‐ Saat IAM Access Analyzer untuk S3 menemukan akses bucket publik atau bersama.

  • Dibagikan melalui ‐ Cara bucket dibagikan—melalui kebijakan bucket, ACL bucket, kebijakan Titik Akses Multi-Wilayah, atau kebijakan titik akses. Titik Akses Multi-Wilayah dan titik akses lintas akun ditampilkan di bawah titik akses. Bucket dapat dibagikan melalui kebijakan dan ACLs. Jika ingin menemukan dan meninjau sumber untuk akses bucket Anda, Anda dapat menggunakan informasi dalam kolom ini sebagai titik awal untuk mengambil tindakan korektif yang cepat dan tepat.

  • Status ‐ Status temuan bucket. IAM Access Analyzer untuk S3 menampilkan temuan untuk semua bucket publik dan bersama.

    • Aktif ‐ Temuan belum ditinjau.

    • Diarsipkan ‐ Temuan telah ditinjau dan dikonfirmasi sesuai tujuan.

    • Semua - Semua temuan untuk ember yang bersifat publik atau dibagikan dengan orang lain Akun AWS, termasuk Akun AWS di luar organisasi Anda.

  • Tingkat akses ‐ Izin akses diberikan untuk bucket:

    • Daftar ‐ Cantumkan sumber daya.

    • Baca ‐ Membaca, tetapi tidak mengedit konten dan atribut sumber daya.

    • Tulis ‐ Membuat, menghapus, atau memodifikasi sumber daya.

    • Izin ‐ Berikan atau ubah izin sumber daya.

    • Penandaan ‐ Perbarui tag yang terkait dengan sumber daya.

Mengaktifkan IAM Access Analyzer untuk S3

Untuk menggunakan IAM Access Analyzer untuk S3, Anda harus menyelesaikan langkah prasyarat berikut.

  1. Berikan izin yang diperlukan.

    Untuk informasi lebih lanjut, lihat Izin yang Diperlukan untuk menggunakan Access Analyzer dalam Panduan Pengguna IAM.

  2. Kunjungi IAM untuk membuat penganalisis level akun untuk setiap Wilayah tempat Anda ingin menggunakan Access Analyzer.

    IAM Access Analyzer untuk S3 membutuhkan penganalisis tingkat akun. Untuk menggunakan Access Analyzer untuk S3, Anda harus membuat penganalisis yang memiliki akun sebagai zona kepercayaan. Untuk informasi selengkapnya, lihat Mengaktifkan IAM Access Analyzer di Panduan Pengguna IAM.

Memblokir semua akses publik

Jika Anda ingin memblokir semua akses ke bucket dalam satu klik, Anda dapat menggunakan Blokir semua akses publik dalam Access Analyzer untuk S3. Ketika Anda memblokir semua akses publik ke bucket, akses publik tidak diberikan. Kami menyarankan agar Anda memblokir semua akses publik ke bucket Anda kecuali jika Anda memerlukan akses publik untuk mendukung kasus penggunaan tertentu yang terverifikasi. Sebelum memblokir semua akses publik, pastikan bahwa aplikasi Anda akan terus berfungsi dengan benar tanpa akses publik.

Jika tidak ingin memblokir semua akses publik ke bucket Anda, Anda dapat mengedit pengaturan akses publik blok di konsol Amazon S3 untuk mengonfigurasi tingkat akses granular ke bucket Anda. Untuk informasi selengkapnya, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda.

Dalam kasus yang jarang terjadi, IAM Access Analyzer untuk S3 dan Amazon S3 memblokir evaluasi akses publik mungkin berbeda pada apakah bucket bersifat publik. Perilaku ini terjadi karena Amazon S3 memblokir akses publik melakukan validasi pada keberadaan tindakan selain mengevaluasi akses publik. Misalkan kebijakan bucket berisi Action pernyataan yang mengizinkan akses publik untuk tindakan yang tidak didukung oleh Amazon S3 (misalnya,s3:NotASupportedAction). Dalam hal ini, Amazon S3 memblokir akses publik mengevaluasi bucket sebagai publik karena pernyataan seperti itu berpotensi membuat bucket publik jika tindakan tersebut kemudian didukung. Jika Amazon S3 memblokir akses publik dan IAM Access Analyzer untuk S3 berbeda dalam evaluasinya, kami sarankan untuk meninjau kebijakan bucket dan menghapus tindakan yang tidak didukung.

Untuk memblokir semua akses publik ke bucket menggunakan Access Analyzer IAM untuk S3

  1. Masuk ke AWS Management Console dan buka konsol Amazon S3 di. http://console.aws.amazon.com/s3/

  2. Di panel navigasi di sebelah kiri, di bawah Dasbor, pilih Access analyzer untuk S3.

  3. Di IAM Access Analyzer untuk S3, pilih bucket.

  4. Pilih Blokir semua akses publik.

  5. Untuk mengonfirmasi maksud Anda untuk memblokir semua akses publik ke bucket, di Blokir semua akses publik (pengaturan bucket), masukkan confirm.

    Amazon S3 memblokir semua akses publik ke bucket Anda. Status pembaruan temuan bucket untuk diselesaikan, dan bucket menghilang dari daftar Access Analyzer untuk S3. Jika Anda ingin meninjau bucket yang diselesaikan, buka IAM Access Analyzer di Konsol IAM.

Meninjau dan mengubah akses bucket

Jika Anda tidak bermaksud memberikan akses ke publik atau lainnya Akun AWS, termasuk akun di luar organisasi, Anda dapat mengubah ACL bucket, kebijakan bucket, kebijakan Titik Akses Multi-Wilayah, atau kebijakan jalur akses untuk menghapus akses ke bucket. Dibagikan melalui kolom menunjukkan semua sumber akses bucket: kebijakan ACL bucket, tujuan persetujuan, dan/atau kebijakan titik akses. Titik Akses Multi-Wilayah dan titik akses lintas akun ditampilkan di bawah titik akses.

Untuk meninjau dan mengubah kebijakan bucket, bucket ACL, Titik Akses Multi-Wilayah, atau kebijakan titik akses

  1. Buka konsol Amazon S3 di. http://console.aws.amazon.com/s3/

  2. Di panel navigasi, pilih Access analyzer untuk S3.

  3. Untuk melihat apakah akses publik atau akses bersama diberikan melalui kebijakan bucket, kebijakan Titik Akses Multi-Wilayah, atau kebijakan titik akses, lihat di kolom Dibagikan melalui.

  4. Di bagian bawah Bucket, pilih nama bucket dengan kebijakan bucket, kebijakan bucket ACL, atau kebijakan titik akses yang ingin Anda ubah atau tinjau.

  5. Jika Anda ingin mengubah atau melihat bucket ACL:

    1. Pilih Izin.

    2. Pilih Daftar Kontrol Akses.

    3. Tinjau bucket ACL Anda, dan buat perubahan sesuai kebutuhan.

      Untuk informasi selengkapnya, lihat Mengkonfigurasi ACLs.

  6. Jika Anda ingin mengubah atau meninjau kebijakan bucket:

    1. Pilih Izin.

    2. Pilih Kebijakan Bucket.

    3. Tinjau atau ubah kebijakan bucket sesuai kebutuhan.

      Untuk informasi selengkapnya, lihat Menambahkan kebijakan bucket dengan menggunakan konsol Amazon S3.

  7. Jika Anda ingin mengubah atau melihat kebijakan Titik Akses Multi-Wilayah:

    1. Pilih Titik Akses Multi-Wilayah.

    2. Pilih nama Titik Akses Multi-Wilayah.

    3. Tinjau atau ubah kebijakan Titik Akses Multi-Wilayah sesuai kebutuhan.

      Untuk informasi selengkapnya, lihat Izin.

  8. Jika Anda ingin meninjau atau mengubah kebijakan titik akses:

    1. Memilih titik akses.

    2. Pilih nama titik akses.

    3. Tinjau atau ubah akses sesuai kebutuhan.

      Untuk informasi selengkapnya, lihat Mengelola jalur akses Amazon S3 Anda untuk bucket tujuan umum.

    Jika Anda mengedit atau menghapus Bacbu ACL, kebijakan bucket, atau kebijakan titik akses untuk menghapus akses publik atau akses bersama, status pembaruan temuan bucket untuk diselesaikan. Temuan bucket yang diselesaikan menghilang dari IAM Access Analyzer untuk daftar S3, tetapi Anda dapat melihatnya di IAM Access Analyzer.

Mengarsipkan temuan bucket

Jika bucket memberikan akses ke publik atau lainnya Akun AWS, termasuk akun di luar organisasi Anda, untuk mendukung kasus penggunaan tertentu (misalnya, situs web statis, unduhan publik, atau berbagi lintas akun), Anda dapat mengarsipkan temuan untuk bucket. Saat Anda mengarsipkan temuan bucket, Anda menyatakan dan mencatat maksud Anda agar bucket tetap bersifat publik, atau berbagi. Temuan bucket yang diarsipkan tetap ada dalam daftar Access Analyzer untuk S3 sehingga Anda selalu mengetahui bucket mana yang publik atau dibagikan.

Untuk mengarsipkan temuan bucket dalam IAM Access Analyzer untuk S3

  1. Buka konsol Amazon S3 di. http://console.aws.amazon.com/s3/

  2. Di panel navigasi, pilih Access analyzer untuk S3.

  3. Access Analyzer IAM untuk S3, pilih bucket aktif.

  4. Untuk mengetahui maksud Anda agar bucket ini dapat diakses oleh publik atau lainnya Akun AWS, termasuk akun di luar organisasi Anda, pilih Arsip.

  5. Masukkan confirm, dan pilih Arsipkan.

Mengaktifkan temuan bucket yang diarsipkan

Setelah mengarsipkan temuan, Anda dapat selalu mempertahankan temuan tersebut dan mengubah status kembali menjadi aktif, yang menunjukkan bahwa bucket memerlukan peninjauan lain.

Untuk mengaktifkan temuan bucket yang diarsipkan di IAM Access Analyzer untuk S3

  1. Buka konsol Amazon S3 di. http://console.aws.amazon.com/s3/

  2. Di panel navigasi, pilih Access analyzer untuk S3.

  3. Pilih bucket findings yang diarsipkan.

  4. Pilih Tandai sebagai aktif.

Melihat detail temuan

Jika Anda perlu melihat informasi selengkapnya tentang bucket, Anda dapat membuka bucket untuk menemukan detail di IAM Access Analyzer di Konsol IAM.

Untuk melihat detail temuan dalam IAM Access Analyzer untuk S3

  1. Buka konsol Amazon S3 di. http://console.aws.amazon.com/s3/

  2. Di panel navigasi, pilih Access analyzer untuk S3.

  3. Di IAM Access Analyzer untuk S3, pilih bucket.

  4. Pilih Lihat detail.

    Detail temuan terbuka di IAM Access Analyzer di Konsol IAM.

Mengunduh IAM Access Analyzer untuk laporan S3

Anda dapat mengunduh temuan bucket Anda sebagai laporan CSV yang dapat Anda gunakan untuk tujuan audit. Laporan mencakup informasi yang sama yang Anda lihat dalam Access Analyzer untuk S3 pada konsol Amazon S3.

Untuk mengunduh laporan

  1. Buka konsol Amazon S3 di. http://console.aws.amazon.com/s3/

  2. Di panel navigasi di sebelah kiri, pilih Access analyzer untuk S3.

  3. Pada filter Area, pilih Area.

    Access Analyzer IAM untuk pembaruan S3 untuk menunjukkan bucket untuk Area yang dipilih.

  4. Pilih Unduh laporan.

    Laporan CSV dibuat dan disimpan ke komputer Anda.