Überprüfen des Bucket-Zugriffs mit Zugriffs-Analyzer für S3 - Amazon Simple Storage Service

Überprüfen des Bucket-Zugriffs mit Zugriffs-Analyzer für S3

Der Zugriffs-Analyzer für S3 macht Sie auf S3-Buckets aufmerksam, die so konfiguriert sind, dass jedem im Internet oder anderen AWS-Konten, einschließlich AWS-Konten außerhalb Ihrer Organisation, Zugriff gewährt wird. Für jeden öffentlichen oder freigegebenen Bucket erhalten Sie Ergebnisse bezüglich der Quelle und der Ebene des öffentlichen oder freigegebenen Zugriffs. Beispielsweise könnte der Zugriffs-Analyzer für S3 zeigen, dass ein Bucket über Lese- oder Schreibzugriff verfügt, der über eine Bucket-Zugriffskontrollliste (ACL), eine Bucket-Richtlinie oder eine Zugriffspunkt-Richtlinie bereitgestellt wird. Bewaffnet mit diesem Wissen können Sie sofortige und präzise Korrekturmaßnahmen ergreifen, um den von Ihnen beabsichtigten Bucket-Zugriff wiederherzustellen.

Wenn Sie einen gefährdeten Bucket im Zugriffs-Analyzer für S3 überprüfen, können Sie den gesamten öffentlichen Zugriff auf den Bucket mit einem einzigen Klick blockieren. Wir empfehlen Ihnen, den gesamten Zugriff auf Ihre Buckets zu blockieren, es sei denn, Sie benötigen öffentlichen Zugriff, um einen bestimmten Anwendungsfall zu unterstützen. Bevor Sie den gesamten öffentlichen Zugriff blockieren, stellen Sie sicher, dass Ihre Anwendungen ohne öffentlichen Zugriff weiterhin ordnungsgemäß funktionieren. Weitere Informationen finden Sie unter Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher.

Sie können auch einen Drilldown in die Berechtigungseinstellungen auf Bucket-Ebene ausführen, um detaillierte Zugriffsebenen zu konfigurieren. Für bestimmte und überprüfte Anwendungsfälle, die öffentlichen Zugriff erfordern, wie statisches Website-Hosting, öffentliche Downloads oder kontenübergreifende Freigabe, können Sie Ihre Absicht bestätigen und aufzeichnen, dass der Bucket öffentlich oder freigegeben bleibt, indem Sie die Ergebnisse für den Bucket archivieren. Diese Bucket-Konfigurationen sind jederzeit aufrufbar und änderbar. Sie können Ihre Ergebnisse auch als CSV-Bericht zu Auditing-Zwecken herunterladen.

Der Zugriffs-Analyzer für S3 ist ohne zusätzliche Kosten auf der Amazon S3-Konsole verfügbar. Der Zugriffs-Analyzer für S3 wird von AWS Identity and Access Management (IAM) Access Analyzer unterstützt. Um den Zugriffs-Analyzer für S3 in der Amazon S3-Konsole zu verwenden, müssen Sie die IAM-Konsole aufrufen und IAM Access Analyzer pro Region aktivieren.

Weitere Informationen zu IAM Access Analyzer finden Sie unter Was ist Access Analyzer? im IAM-Benutzerhandbuch. Weitere Informationen zum Zugriffs-Analyzer für S3 finden Sie in den folgenden Abschnitten.

Wichtig
  • Der Zugriffs-Analyzer für S3 erfordert einen Analyzer auf Kontoebene. Um den Zugriffs-Analyzer für S3 zu verwenden, müssen Sie IAM Access Analyzer aufrufen und einen Analyzer erstellen, der über ein Konto als Vertrauenszone verfügt. Weitere Informationen finden Sie unter Aktivieren von Access Analyzer im IAM-Benutzerhandbuch.

  • Wenn eine Bucket-Richtlinie oder Bucket-ACL hinzugefügt oder geändert wird, generiert und aktualisiert Access Analyzer Ergebnisse basierend auf der Änderung innerhalb von 30 Minuten. Ergebnisse im Zusammenhang mit den Block Public Access-Einstellungen auf Kontoebene werden möglicherweise erst bis zu 6 Stunden, nachdem Sie die Einstellungen geändert haben, generiert oder aktualisiert.

Welche Informationen bietet der Zugriffs-Analyzer für S3?

Der Zugriffs-Analyzer für S3 liefert Ergebnisse für Buckets, auf die außerhalb Ihres AWS-Kontos zugegriffen werden kann. Buckets, die unter Buckets with public access (Buckets mit öffentlichem Zugriff) aufgeführt sind, können jedem im Internet zugänglich. Wenn der Zugriffs-Analyzer für S3 öffentliche Buckets identifiziert, wird oben auf der Seite eine Warnung angezeigt, die Ihnen die Anzahl der öffentlichen Buckets in Ihrer Region anzeigt. Buckets, die unter Buckets mit Zugriff von anderen AWS-Konten – einschließlich -Konten von Drittanbietern aufgeführt sind, werden bedingt mit anderen AWS-Konten geteilt, einschließlich Konten außerhalb Ihrer Organisation.

Für jeden Bucket bietet der Zugriffs-Analyzer für S3 die folgenden Informationen:

  • Bucket-Name

  • Discovered by Access Analyzer (Entdeckt vom Zugriffs-Analyzer) – Wann der Zugriffs-Analyzer für S3 den öffentlichen oder gemeinsamen Bucket-Zugriff entdeckt hat.

  • Shared through (Freigabe über) – Wie der Bucket freigegeben wird – über eine Bucket-Richtlinie, eine Bucket-ACL oder eine Zugriffspunkt-Richtlinie. Ein Bucket kann sowohl über Richtlinien als auch über ACLs freigegeben werden. Wenn Sie die Quelle für den Bucket-Zugriff suchen und überprüfen möchten, können die Informationen in dieser Spalte als Ausgangspunkt für sofortige und präzise Korrekturmaßnahmen dienen.

  • Status - Der Status der Erkenntnisse zu dem Bucket. Der Zugriffs-Analyzer für S3 zeigt Ergebnisse für alle öffentlichen und gemeinsam genutzten Buckets an.

    • Active (Aktiv) – Ergebnis wurde nicht überprüft.

    • Archived (Archiviert) – Das Ergebnis wurde wie vorgesehen überprüft und bestätigt.

    • All (Alle) – Alle Ergebnisse für Buckets, die öffentlich oder für andere AWS-Konten freigegeben sind, einschließlich AWS-Konten außerhalb Ihrer Organisation.

  • Access level (Zugriffsebene) – Gewährte Zugriffsberechtigungen für den Bucket:

    • List (Liste) – Auflistung der Ressourcen.

    • Read (Lesen) – Lesen aber kein Bearbeiten von Ressourceninhalten und -attributen.

    • Write (Schreiben) – Erstellen, Löschen oder Ändern von Ressourcen.

    • Permissions (Berechtigungen) – Erteilen oder ändern der Ressourcenberechtigungen.

    • Tagging – Aktualisieren der einer Ressource zugeordneten Tags.

Aktivieren des Zugriffs-Analyzer für S3

Um den Zugriffs-Analyzer für S3 zu verwenden, müssen Sie die folgenden erforderlichen Schritte ausführen.

  1. Sie müssen die erforderlichen Berechtigungen erteilen.

    Weitere Informationen finden Sie unter Zur Verwendung von Access Analyzer erforderliche Berechtigungen im IAM-Benutzerhandbuch.

  2. Besuchen SieIAM, um einen Analyzer auf Kontoebene für jede Region zu erstellen, in der Sie Access Analyzer verwenden möchten.

    Der Zugriffs-Analyzer für S3 erfordert einen Analyzer auf Kontoebene. Um den Zugriffs-Analyzer für S3 verwenden zu können, müssen Sie einen Analyzer erstellen, der ein Konto als Vertrauenszone hat. Weitere Informationen finden Sie unter Aktivieren von Access Analyzer im IAM-Benutzerhandbuch.

Blockieren des gesamten öffentlichen Zugriffs

Wenn Sie den gesamten Zugriff auf einen Bucket mit einem einzigen Klick blockieren möchten, können Sie die Schaltfläche Block all public access (Öffentlichen Zugriff blockieren) im Zugriffs-Analyzer für S3 verwenden. Wenn Sie den gesamten öffentlichen Zugriff auf einen Bucket blockieren, wird kein öffentlicher Zugriff gewährt. Wir empfehlen Ihnen, den gesamten öffentlichen Zugriff auf Ihre Buckets zu blockieren, es sei denn, Sie benötigen öffentlichen Zugriff, um einen bestimmten und verifizierten Anwendungsfall zu unterstützen. Bevor Sie den gesamten öffentlichen Zugriff blockieren, stellen Sie sicher, dass Ihre Anwendungen ohne öffentlichen Zugriff weiterhin ordnungsgemäß funktionieren.

Wenn Sie nicht den gesamten öffentlichen Zugriff auf Ihren Bucket blockieren möchten, können Sie Ihre Block Public Access-Einstellungen in der Amazon S3-Konsole bearbeiten, um detaillierte Zugriffsebenen für Ihre Buckets zu konfigurieren. Weitere Informationen finden Sie unter Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher.

In seltenen Fällen meldet der Zugriffs-Analyzer für S3 möglicherweise keine Ergebnisse für einen Bucket, den eine Amazon S3 Block Public Access-Evaluierung als öffentlich meldet. Dies ist der Fall, da Amazon S3 Block Public Access Richtlinien für aktuelle Aktionen und potenzielle Aktionen, die in Zukunft hinzugefügt werden könnten und die dazu führen könnten, dass ein Bucket öffentlich wird, überprüft. Andererseits analysiert der Zugriffs-Analyzer für S3 nur die aktuellen Aktionen, die für den Amazon S3-Service bei der Bewertung des Zugriffsstatus festgelegt wurden.

So blockieren Sie den gesamten öffentlichen Zugriff auf einen Bucket mit Zugriffs-Analyzer für S3:

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3.

  2. Wählen Sie im Navigationsbereich auf der linken Seite unter Dashboards die Option Access Analyzer for S3 aus.

  3. Wählen Sie im Zugriffs-Analyzer für S3 einen Bucket aus.

  4. Wählen Sie Block all public access (Öffentlichen Zugriff blockieren) aus.

  5. Um zu bestätigen, dass Sie den gesamten öffentlichen Zugriff auf den Bucket blockieren möchten, geben Sie unter Block all public access (bucket settings) (Öffentlichen Zugriff blockieren) (Bucket-Einstellungen) confirm ein.

    Amazon S3 blockiert den gesamten öffentlichen Zugriff auf Ihren Bucket. Der Status des Bucket-Ergebnisses wird auf resolved (aufgelöst) aktualisiert, und der Bucket erscheint nicht mehr in der Zugriffs-Analyzer für S3-Liste. Wenn Sie aufgelöste Buckets überprüfen möchten, öffnen Sie IAM Access Analyzer auf der IAM-Konsole.

Überprüfen und Ändern des Bucket-Zugriffs

Wenn Sie nicht beabsichtigt haben, den öffentlichen oder anderen AWS-Konten, einschließlich Konten außerhalb Ihrer Organisation, Zugriff zu gewähren, können Sie die Bucket-ACL, die Bucket-Richtlinie oder die Zugriffspunkt-Richtlinie ändern, um den Zugriff auf den Bucket zu entfernen. In der Spalte Shared through (Freigegeben durch) werden alle Quellen des Bucket-Zugriffs angezeigt: Bucket-Richtlinie, Bucket-ACL und/oder Zugriffspunkt-Richtlinie.

So überprüfen und ändern Sie eine Bucket-Richtlinie, eine Bucket-Zugriffskontrollliste oder eine Zugriffspunkt-Richtlinie

  1. Öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im Navigationsbereich Access Analyzer for S3.

  3. Um zu sehen, ob öffentlicher Zugriff oder freigegebener Zugriff über eine Bucket-Richtlinie, eine Bucket-ACL oder eine Zugriffspunkt-Richtlinie gewährt wird, nehmen Sie auf die Spalte Shared through (Freigegeben durch) Bezug.

  4. Wählen Sie unter Buckets den Namen des Buckets mit der Bucket-Richtlinie, der Bucket-Zugriffskontrollliste oder der Zugriffspunkt-Richtlinie aus, die Sie ändern oder überprüfen möchten.

  5. Wenn Sie eine Bucket-ACL ändern oder anzeigen möchten:

    1. Wählen Sie Permissions (Berechtigungen) aus.

    2. Wählen Sie Access Control List.

    3. Überprüfen Sie Ihre Bucket-ACL und nehmen Sie bei Bedarf Änderungen vor.

      Weitere Informationen finden Sie unter Konfigurieren von ACLs

  6. Wenn Sie eine Bucket-Richtlinie ändern oder überprüfen möchten, gehen Sie folgendermaßen vor:

    1. Wählen Sie Permissions.

    2. Wählen Sie Bucket Policy aus.

    3. Überprüfen oder ändern Sie Ihre Bucket-Richtlinie nach Bedarf.

      Weitere Informationen finden Sie unter Hinzufügen einer Bucket-Richtlinie mit der Amazon S3-Konsole

  7. Wenn Sie eine Zugriffspunkt-Richtlinie überprüfen oder ändern möchten, gehen Sie folgendermaßen vor:

    1. Wählen Sie Access Points (Zugriffspunkte).

    2. Wählen Sie den Namen des Zugriffspunkts aus.

    3. Überprüfen oder ändern Sie den Zugriff nach Bedarf.

      Weitere Informationen finden Sie unter Nutzen von Amazon S3-Zugriffspunkten mit der Amazon S3-Konsole.

    Wenn Sie eine Bucket-ACL, eine Bucket-Richtlinie oder eine Zugriffspunkt-Richtlinie bearbeiten oder entfernen, um den öffentlichen oder gemeinsamen Zugriff zu entfernen, wird der Status für die Bucket-Ergebnisse auf gelöst aktualisiert. Die aufgelösten Bucket-Ergebnisse verschwinden aus der Liste des Zugriffs-Analyzer für S3, Sie können sie jedoch in IAM Access Analyzer anzeigen.

Archivieren von Bucket-Ergebnissen

Wenn ein Bucket Zugriff auf öffentliche oder andere AWS Konten, einschließlich Konten außerhalb Ihrer Organisation, gewährt, um einen bestimmten Anwendungsfall zu unterstützen (z. B. eine statische Website, öffentliche Downloads oder kontenübergreifende Freigabe), können Sie das Ergebnis für den Bucket archivieren. Wenn Sie Bucket-Ergebnisse archivieren, bestätigen und verzeichnen Sie Ihre Absicht, dass der Bucket öffentlich oder freigegeben bleiben soll. Archivierte Bucket-Ergebnisse verbleiben in Ihrer Zugriffs-Analyzer für S3-Liste, sodass Sie immer wissen, welche Buckets öffentlich oder freigegeben sind.

So archivieren Sie Bucket-Ergebnisse im Zugriffs-Analyzer für S3:

  1. Öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im Navigationsbereich Access Analyzer for S3.

  3. Wählen Sie im Zugriffs-Analyzer für S3 einen aktiven Bucket aus.

  4. Um zu bestätigen, dass dieser Bucket der Öffentlichkeit und anderen AWS-Konten, einschließlich Konten außerhalb Ihrer Organisation, zugänglich sein soll, wählen Sie Archive (Archivieren).

  5. Geben Sie confirm ein und wählen Sie Archiv (Archivieren).

Aktivieren eines archivierten Bucket-Ergebnisses

Nachdem Sie Ergebnisse archiviert haben, können Sie sie jederzeit erneut einsehen und ihren Status wieder auf aktiv ändern, wodurch angegeben wird, dass für den Bucket eine weitere Überprüfung erforderlich ist.

So aktivieren Sie ein archiviertes Bucket-Ergebnis im Zugriffs-Analyzer für S3:

  1. Öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im Navigationsbereich Access Analyzer for S3.

  3. Wählen Sie die archivierten Bucket-Ergebnisse aus.

  4. Wählen Sie Mark as active (Als aktiv markieren) aus.

Anzeigen von Ergebnisdetails

Wenn Sie weitere Informationen zu einem Bucket anzeigen möchten, können Sie die Details der Bucket-Ergebnisse in IAM Access Analyzer in der IAM-Konsole einsehen.

So zeigen Sie Ergebnisdetails im Zugriffs-Analyzer für S3 an:

  1. Öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im Navigationsbereich Access Analyzer for S3.

  3. Wählen Sie im Zugriffs-Analyzer für S3 einen Bucket aus.

  4. Wählen Sie die Option View details aus.

    Die Ergebnisdetails werden in IAM Access Analyzer auf der IAM-Konsole geöffnet.

Herunterladen eines Berichts zum Zugriffs-Analyzer für S3

Sie können Ihre Bucket-Ergebnisse als CSV-Bericht herunterladen, den Sie für Auditing-Zwecke verwenden können. Der Bericht enthält die gleichen Informationen, die Sie im Zugriffs-Analyzer für S3 auf der Amazon S3-Konsole sehen.

So laden Sie einen Bericht herunter

  1. Öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Access Analyzer for S3 aus.

  3. Wählen Sie im Filter „Region“ die Region aus.

    Der Zugriffs-Analyzer für S3 wird mit Buckets für die ausgewählte Region aktualisiert.

  4. Wählen Sie Download Report (Bericht herunterladen) aus.

    Ein CSV-Bericht wird generiert und auf Ihrem Computer gespeichert.