Überprüfen des Bucket-Zugriffs mit IAM Access Analyzer für S3 - Amazon Simple Storage Service
Welche Informationen stellt IAM Access Analyzer für S3 zur Verfügung?Aktivieren von IAM Access Analyzer für S3Blockieren des gesamten öffentlichen ZugriffsÜberprüfen und Ändern des Bucket-ZugriffsArchivieren von Bucket-ErgebnissenAktivieren eines archivierten Bucket-ErgebnissesAnzeigen von ErgebnisdetailsHerunterladen eines Berichts von IAM Access Analyzer für S3

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überprüfen des Bucket-Zugriffs mit IAM Access Analyzer für S3

IAM Access Analyzer für S3 macht Sie auf S3-Buckets aufmerksam, die so konfiguriert sind, dass jedem im Internet oder anderen , einschließlich AWS-Konten außerhalb Ihrer Organisation AWS-Konten, Zugriff gewährt wird. Für jeden öffentlichen oder freigegebenen Bucket erhalten Sie Ergebnisse bezüglich der Quelle und der Ebene des öffentlichen oder freigegebenen Zugriffs. Beispielsweise könnte IAM Access Analyzer für S3 zeigen, dass ein Bucket über Lese- oder Schreibzugriff verfügt, der über eine Bucket-Zugriffssteuerungsliste (ACL), eine Bucket-Richtlinie, eine Richtlinie für Multi-Region Access Points oder eine Zugriffspunktrichtlinie bereitgestellt wird. Mit diesem Erkenntnissen können Sie sofortige und präzise Korrekturmaßnahmen ergreifen, um den Bucket-Zugriff wie beabsichtigt wiederherzustellen.

Wenn Sie einen gefährdeten Bucket in IAM Access Analyzer für S3 überprüfen, können Sie den gesamten öffentlichen Zugriff auf den Bucket mit einem einzigen Klick blockieren. Wir empfehlen Ihnen, den gesamten Zugriff auf Ihre Buckets zu blockieren, es sei denn, Sie benötigen öffentlichen Zugriff, um einen bestimmten Anwendungsfall zu unterstützen. Bevor Sie den gesamten öffentlichen Zugriff blockieren, stellen Sie sicher, dass Ihre Anwendungen ohne öffentlichen Zugriff weiterhin ordnungsgemäß funktionieren. Weitere Informationen finden Sie unter Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher.

Sie können auch einen Drilldown in die Berechtigungseinstellungen auf Bucket-Ebene ausführen, um detaillierte Zugriffsebenen zu konfigurieren. Für bestimmte und überprüfte Anwendungsfälle, die öffentlichen Zugriff erfordern, wie statisches Website-Hosting, öffentliche Downloads oder kontenübergreifende Freigabe, können Sie Ihre Absicht bestätigen und aufzeichnen, dass der Bucket öffentlich oder freigegeben bleibt, indem Sie die Ergebnisse für den Bucket archivieren. Diese Bucket-Konfigurationen sind jederzeit aufrufbar und änderbar. Sie können Ihre Ergebnisse auch als CSV-Bericht zu Auditing-Zwecken herunterladen.

IAM Access Analyzer für S3 ist ohne zusätzliche Kosten in der Amazon-S3-Konsole verfügbar. IAM Access Analyzer für S3 wird von AWS Identity and Access Management (IAM) IAM Access Analyzer bereitgestellt. Um IAM Access Analyzer für S3 in der Amazon S3-Konsole zu verwenden, müssen Sie die IAM-Konsole aufrufen und IAM Access Analyzer pro Region aktivieren.

Weitere Informationen zu IAM Access Analyzer finden Sie unter Was ist IAM Access Analyzer? im IAM-Benutzerhandbuch. Weitere Informationen zu IAM Access Analyzer für S3 finden Sie in den folgenden Abschnitten.

Wichtig

  • IAM Access Analyzer für S3 erfordert einen Analyzer auf Kontoebene. Um IAM Access Analyzer für S3 zu verwenden, müssen Sie IAM Access Analyzer aufrufen und einen Analysator erstellen, der ein Konto als Vertrauenszone hat. Weitere Informationen finden Sie unter Aktivieren von IAM Access Analyzer im IAM-Benutzerhandbuch.

  • IAM Access Analyzer für S3 analysiert nicht die Zugriffspunktrichtlinie, die kontoübergreifenden Zugriffspunkten angefügt ist. Dieses Verhalten tritt auf, weil sich der Zugriffspunkt und seine Richtlinie außerhalb der Vertrauenszone, d. h. des Kontos, befinden. Buckets, die den Zugriff an einen kontoübergreifenden Zugriffspunkt delegieren, werden unter Buckets mit öffentlichem Zugriff aufgeführt, sofern Sie die Einstellung RestrictPublicBuckets zum Blockieren des öffentlichen Zugriffs nicht auf den Bucket oder das Konto angewendet haben. Wenn Sie die Einstellung „Öffentlichen Zugriff RestrictPublicBuckets blockieren“ anwenden, wird der Bucket unter Buckets mit Zugriff von anderen AWS-Konten – einschließlich von Drittanbietern – AWS-Kontengemeldet.

  • Wenn eine Bucket-Richtlinie oder Bucket-ACL hinzugefügt oder geändert wird, generiert und aktualisiert IAM Access Analyzer Erkenntnisse basierend auf der Änderung innerhalb von 30 Minuten. Ergebnisse im Zusammenhang mit den Einstellungen zum Blockieren des öffentlichen Zugriffs auf Kontoebene werden möglicherweise erst bis zu 6 Stunden, nachdem Sie die Einstellungen geändert haben, generiert oder aktualisiert. Ergebnisse, die sich auf Multi-Regions-Zugriffspunkte beziehen, können bis zu sechs Stunden nach dem Erstellen, Löschen oder Ändern der Richtlinie des Multi-Region Access Points nicht generiert oder aktualisiert werden.

Welche Informationen stellt IAM Access Analyzer für S3 zur Verfügung?

IAM Access Analyzer für S3 liefert Erkenntnisse für Buckets, auf die außerhalb Ihres AWS-Konto s zugegriffen werden kann. Buckets, die unter Buckets with public access (Buckets mit öffentlichem Zugriff) aufgeführt sind, können jedem im Internet zugänglich. Wenn IAM Access Analyzer für S3 öffentliche Buckets identifiziert, wird oben auf der Seite eine Warnung angezeigt, die Ihnen die Anzahl der öffentlichen Buckets in Ihrer Region anzeigt. Buckets, die unter Buckets mit Zugriff von anderen AWS-Konten – einschließlich Drittanbietern AWS-Konten aufgeführt sind, werden bedingt mit anderen geteilt AWS-Konten, einschließlich Konten außerhalb Ihrer Organisation.

Für jeden Bucket bietet IAM Access Analyzer für S3 die folgenden Informationen:

  • Bucket-Name

  • Von Access Analyzer entdeckt – Gibt an, wann IAM Access Analyzer für S3 den öffentlichen oder gemeinsamen Bucket-Zugriff entdeckt hat.

  • Shared through (Freigabe über) – Wie der Bucket freigegeben wird – über eine Bucket-Richtlinie, eine Bucket-ACL, eine Multi-Regions-Zugriffspunkt-Richtlinie oder eine Zugriffspunkt-Richtlinie. Multi-Region Access Points und kontoübergreifende Zugriffspunkte werden unter Zugriffspunkten aufgeführt. Ein Bucket kann sowohl über Richtlinien als auch über ACLs freigegeben werden. Wenn Sie die Quelle für den Bucket-Zugriff suchen und überprüfen möchten, können die Informationen in dieser Spalte als Ausgangspunkt für sofortige und präzise Korrekturmaßnahmen dienen.

  • Status - Der Status der Erkenntnisse zu dem Bucket. IAM Access Analyzer für S3 zeigt Erkenntnisse für alle öffentlichen und gemeinsam genutzten Buckets an.

    • Active (Aktiv) – Ergebnis wurde nicht überprüft.

    • Archived (Archiviert) – Das Ergebnis wurde wie vorgesehen überprüft und bestätigt.

    • All e– Alle Ergebnisse für Buckets, die öffentlich oder für andere freigegeben sind AWS-Konten, einschließlich AWS-Konten außerhalb Ihrer Organisation.

  • Access level (Zugriffsebene) – Gewährte Zugriffsberechtigungen für den Bucket:

    • List (Liste) – Auflistung der Ressourcen.

    • Read (Lesen) – Lesen aber kein Bearbeiten von Ressourceninhalten und -attributen.

    • Write (Schreiben) – Erstellen, Löschen oder Ändern von Ressourcen.

    • Permissions (Berechtigungen) – Erteilen oder ändern der Ressourcenberechtigungen.

    • Markierungen – Aktualisieren der einer Ressource zugeordneten Markierungen.

Aktivieren von IAM Access Analyzer für S3

Um IAM Access Analyzer für S3 zu verwenden, müssen Sie die folgenden erforderlichen Schritte ausführen.

  1. Sie müssen die erforderlichen Berechtigungen erteilen.

    Weitere Informationen finden Sie unter Zur Verwendung von IAM Access Analyzer erforderliche Berechtigungen im IAM-Benutzerhandbuch.

  2. Rufen Sie IAM auf, um einen Analyzer auf Kontoebene für jede Region zu erstellen, in der Sie IAM Access Analyzer verwenden möchten.

    IAM Access Analyzer für S3 erfordert einen Analyzer auf Kontoebene. Um IAM Access Analyzer für S3 verwenden zu können, müssen Sie einen Analyzer erstellen, der ein Konto als Vertrauenszone hat. Weitere Informationen finden Sie unter Aktivieren von IAM Access Analyzer im IAM-Benutzerhandbuch.

Blockieren des gesamten öffentlichen Zugriffs

Wenn Sie den gesamten Zugriff auf einen Bucket mit einem einzigen Klick blockieren möchten, können Sie die Schaltfläche Blockieren des gesamten öffentlichen Zugriffs in IAM Access Analyzer für S3 verwenden. Wenn Sie den gesamten öffentlichen Zugriff auf einen Bucket blockieren, wird kein öffentlicher Zugriff gewährt. Wir empfehlen Ihnen, den gesamten öffentlichen Zugriff auf Ihre Buckets zu blockieren, es sei denn, Sie benötigen öffentlichen Zugriff, um einen bestimmten und verifizierten Anwendungsfall zu unterstützen. Bevor Sie den gesamten öffentlichen Zugriff blockieren, stellen Sie sicher, dass Ihre Anwendungen ohne öffentlichen Zugriff weiterhin ordnungsgemäß funktionieren.

Wenn Sie nicht den gesamten öffentlichen Zugriff auf Ihren Bucket blockieren möchten, können Sie Ihre Block Public Access-Einstellungen in der Amazon-S3-Konsole bearbeiten, um detaillierte Zugriffsebenen für Ihre Buckets zu konfigurieren. Weitere Informationen finden Sie unter Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher.

In seltenen Fällen meldet IAM Access Analyzer für S3 möglicherweise keine Erkenntnisse für einen Bucket, den eine Bewertung von Amazon S3 Block Public Access als öffentlich meldet. Dies ist der Fall, da Amazon S3 Block Public Access Richtlinien für aktuelle Aktionen und potenzielle Aktionen, die in Zukunft hinzugefügt werden könnten und die dazu führen könnten, dass ein Bucket öffentlich wird, überprüft. Andererseits analysiert IAM Access Analyzer für S3 nur die aktuellen Aktionen, die für den Amazon-S3-Service bei der Bewertung des Zugriffsstatus festgelegt wurden.

So blockieren Sie den gesamten öffentlichen Zugriff auf einen Bucket mit IAM Access Analyzer für S3

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite unter Dashboards die Option Access Analyzer for S3 aus.

  3. Wählen Sie in IAM Access Analyzer für S3 einen Bucket aus.

  4. Wählen Sie Block all public access (Öffentlichen Zugriff blockieren) aus.

  5. Um zu bestätigen, dass Sie den gesamten öffentlichen Zugriff auf den Bucket blockieren möchten, geben Sie unter Block all public access (bucket settings) (Öffentlichen Zugriff blockieren) (Bucket-Einstellungen) confirm ein.

    Amazon S3 blockiert den gesamten öffentlichen Zugriff auf Ihren Bucket. Der Status der Bucket-Erkenntnis wird auf gelöst aktualisiert und der Bucket erscheint nicht mehr in der Liste von IAM Access Analyzer für S3. Wenn Sie gelöste Buckets überprüfen möchten, öffnen Sie IAM Access Analyzer in der IAM-Konsole.

Überprüfen und Ändern des Bucket-Zugriffs

Wenn Sie nicht beabsichtigt haben, öffentlichen oder anderen AWS-Konten, einschließlich Konten außerhalb Ihrer Organisation, Zugriff zu gewähren, können Sie die Bucket-ACL, die Bucket-Richtlinie, die Richtlinie für Multi-Region Access Points oder die Zugriffspunktrichtlinie ändern, um den Zugriff auf den Bucket zu entfernen. In der Spalte Shared through (Freigegeben durch) werden alle Quellen des Bucket-Zugriffs angezeigt: Bucket-Richtlinie, Bucket-ACL und/oder Zugriffspunkt-Richtlinie. Multi-Region Access Points und kontoübergreifende Zugriffspunkte werden unter Zugriffspunkten aufgeführt.

So überprüfen und ändern Sie eine Bucket-Richtlinie, eine Bucket-Zugriffskontrollliste, ein Multi-Regions-Zugriffspunkt oder eine Zugriffspunkt-Richtlinie

  1. Öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im Navigationsbereich Access Analyzer for S3.

  3. Um zu sehen, ob öffentlicher Zugriff oder freigegebener Zugriff über eine Bucket-Richtlinie, eine Bucket-ACL, eine Multi-Regions-Zugriffspunkt-Richtlinie oder eine Zugriffspunkt-Richtlinie gewährt wird, nehmen Sie auf die Spalte Shared through (Freigegeben durch) Bezug.

  4. Wählen Sie unter Buckets den Namen des Buckets mit der Bucket-Richtlinie, der Bucket-Zugriffskontrollliste, der Multi-Regions-Zugriffspunkt-Richtlinie oder der Zugriffspunkt-Richtlinie aus, die Sie ändern oder überprüfen möchten.

  5. Wenn Sie eine Bucket-ACL ändern oder anzeigen möchten:

    1. Wählen Sie Permissions (Berechtigungen).

    2. Wählen Sie Access Control List.

    3. Überprüfen Sie Ihre Bucket-ACL und nehmen Sie bei Bedarf Änderungen vor.

      Weitere Informationen finden Sie unter Konfigurieren von ACLs.

  6. Wenn Sie eine Bucket-Richtlinie ändern oder überprüfen möchten, gehen Sie folgendermaßen vor:

    1. Wählen Sie Permissions (Berechtigungen).

    2. Wählen Sie Bucket Policy aus.

    3. Überprüfen oder ändern Sie Ihre Bucket-Richtlinie nach Bedarf.

      Weitere Informationen finden Sie unter Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole.

  7. Wenn Sie eine Multi-Regions-Zugriffspunkt-Richtlinie ändern oder anzeigen, gehen Sie folgendermaßen vor:

    1. Wählen Sie Multiregionaler Zugriffspunkt.

    2. Wählen Sie den multiregionalen Zugriffspunktsnamen.

    3. Überprüfen oder ändern Sie die Multi-Regions-Zugriffspunkt-Richtlinie nach Bedarf.

      Weitere Informationen finden Sie unter Berechtigungen.

  8. Wenn Sie eine Zugriffspunkt-Richtlinie überprüfen oder ändern möchten, gehen Sie folgendermaßen vor:

    1. Wählen Sie Access Points (Zugriffspunkte).

    2. Wählen Sie den Namen des Zugriffspunkts aus.

    3. Überprüfen oder ändern Sie den Zugriff nach Bedarf.

      Weitere Informationen finden Sie unter Nutzen von Amazon S3-Zugriffspunkten mit der Amazon S3-Konsole.

    Wenn Sie eine Bucket-ACL, eine Bucket-Richtlinie oder eine Zugriffspunkt-Richtlinie bearbeiten oder entfernen, um den öffentlichen oder gemeinsamen Zugriff zu entfernen, wird der Status für die Bucket-Ergebnisse auf gelöst aktualisiert. Die aufgelösten Bucket-Ergebnisse verschwinden aus der Liste von IAM Access Analyzer für S3, aber Sie können sie in IAM Access Analyzer anzeigen.

Archivieren von Bucket-Ergebnissen

Wenn ein Bucket Zugriff auf öffentliche oder andere AWS-Konten, einschließlich Konten außerhalb Ihrer Organisation, gewährt, um einen bestimmten Anwendungsfall zu unterstützen (z. B. eine statische Website, öffentliche Downloads oder kontoübergreifende Freigabe), können Sie das Ergebnis für den Bucket archivieren. Wenn Sie Bucket-Ergebnisse archivieren, bestätigen und verzeichnen Sie Ihre Absicht, dass der Bucket öffentlich oder freigegeben bleiben soll. Archivierte Bucket-Erkenntnisse verbleiben in Ihrer Liste von IAM Access Analyzer für S3, sodass Sie immer wissen, welche Buckets öffentlich oder freigegeben sind.

So archivieren Sie Bucket-Erkenntnisse in IAM Access Analyzer für S3

  1. Öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im Navigationsbereich Access Analyzer for S3.

  3. Wählen Sie in IAM Access Analyzer für S3 einen aktiven Bucket aus.

  4. Um Ihre Absicht zu bestätigen, dass auf diesen Bucket von der öffentlichen oder anderen AWS-Konten, einschließlich Konten außerhalb Ihrer Organisation, zugegriffen werden kann, wählen Sie Archivieren.

  5. Geben Sie confirm ein und wählen Sie Archiv (Archivieren).

Aktivieren eines archivierten Bucket-Ergebnisses

Nachdem Sie Ergebnisse archiviert haben, können Sie sie jederzeit erneut einsehen und ihren Status wieder auf aktiv ändern, wodurch angegeben wird, dass für den Bucket eine weitere Überprüfung erforderlich ist.

So aktivieren Sie eine archivierte Bucket-Erkenntnis in IAM Access Analyzer für S3

  1. Öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im Navigationsbereich Access Analyzer for S3.

  3. Wählen Sie die archivierten Bucket-Ergebnisse aus.

  4. Wählen Sie Mark as active (Als aktiv markieren) aus.

Anzeigen von Ergebnisdetails

Wenn Sie weitere Informationen zu einem Bucket benötigen, können Sie die Details der Bucket-Erkenntnis in IAM Access Analyzer in der IAM-Konsole öffnen.

So zeigen Sie Erkenntnisdetails in IAM Access Analyzer für S3 an

  1. Öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im Navigationsbereich Access Analyzer for S3.

  3. Wählen Sie in IAM Access Analyzer für S3 einen Bucket aus.

  4. Wählen Sie die Option View details aus.

    Die Erkenntnisdetails werden in IAM Access Analyzer auf der IAM-Konsole geöffnet.

Herunterladen eines Berichts von IAM Access Analyzer für S3

Sie können Ihre Bucket-Ergebnisse als CSV-Bericht herunterladen, den Sie für Auditing-Zwecke verwenden können. Der Bericht enthält die gleichen Informationen, die Sie in IAM Access Analyzer für S3 in der Amazon-S3-Konsole sehen.

So laden Sie einen Bericht herunter

  1. Öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Access Analyzer for S3 aus.

  3. Wählen Sie im Filter „Region“ die Region aus.

    IAM Access Analyzer für S3 wird mit Buckets für die ausgewählte Region aktualisiert.

  4. Wählen Sie Download Report (Bericht herunterladen) aus.

    Ein CSV-Bericht wird generiert und auf Ihrem Computer gespeichert.