Revisión del acceso al bucket mediante Analizador de acceso de IAM para S3

Analizador de acceso de IAM para S3 le avisa de los buckets de S3 que están configurados para permitir el acceso a cualquier usuario de Internet u otras Cuentas de AWS, incluidas aquellas Cuentas de AWS ajenas a la organización. Para cada bucket público o compartido, recibe los resultados sobre el origen y el nivel del acceso público o compartido. Por ejemplo, Analizador de acceso de IAM para S3 puede mostrar que un bucket tiene acceso de lectura o escritura proporcionado a través de una lista de control de acceso (ACL) de bucket, una política de bucket o una política de punto de acceso. Con estos resultados, puede adoptar medidas correctivas inmediatas y precisas para restaurar el acceso al bucket a aquel que se pretende.

Al revisar un bucket en riesgo en Analizador de acceso de IAM para S3, puede bloquear todo el acceso público al bucket con un solo clic. Le recomendamos que bloquee todo el acceso a sus buckets a menos que necesite acceso público para admitir un caso de uso específico. Antes de bloquear todo el acceso público, asegúrese de que las aplicaciones seguirán funcionando correctamente sin ese acceso público. Para obtener más información, consulte Bloquear el acceso público a su almacenamiento de Amazon S3.

También puede examinar a fondo las configuraciones de permisos de bucket para configurar niveles pormenorizados de acceso. Para casos de uso específicos y verificados que requieren acceso público, como el alojamiento estático de sitios web, descargas públicas o uso compartido entre cuentas, puede reconocer y registrar su intención de que el bucket siga siendo público o compartido archivando los resultados del bucket. Puede volver a visitar y modificar estas configuraciones de bucket en cualquier momento. También puede descargar sus resultados en un informe CSV con fines de auditoría.

Analizador de acceso de IAM para S3 está disponible sin coste adicional en la consola de Amazon S3. Analizador de acceso de IAM para S3 cuenta con la tecnología de Analizador de acceso de AWS Identity and Access Management (IAM). Para utilizar Analizador de acceso de IAM para S3 en la consola de Amazon S3, debe ir a la consola de IAM y habilitar Analizador de acceso de IAM por región.

Para obtener más información acerca de Analizador de acceso de IAM, consulte Analizador de acceso de IAM en la Guía del usuario de IAM. Para obtener más información acerca de Analizador de acceso de IAM para S3, revise las secciones siguientes.

importante

• para S3 requiere un analizador en el nivel de cuenta. Para utilizar Analizador de acceso de IAM para S3, debe ir a Analizador de acceso de IAM y crear un analizador que tenga una cuenta como zona de confianza. Para obtener más información, consulte Habilitación de Analizador de acceso de IAM en la guía del usuario de IAM.

• Analizador de acceso de IAM para S3 no analiza la política de puntos de acceso que se adjunta a los puntos de acceso entre cuentas. Este comportamiento se produce porque el punto de acceso y su política están fuera de la zona de confianza, es decir, de la cuenta. Los buckets que delegan el acceso a un punto de acceso entre cuentas se muestran en Buckets with public access (Buckets con acceso público) si no ha aplicado la configuración de bloqueo del acceso público RestrictPublicBuckets al bucket o a la cuenta. Al aplicar la configuración de bloqueo del acceso público RestrictPublicBuckets, el bucket aparece en Buckets con acceso desde otras Cuentas de AWS — incluidas Cuentas de AWS de terceros.

• Cuando se agrega o modifica una política de bucket o una ACL de bucket, Analizador de acceso de IAM genera y actualiza los resultados basándose en el cambio en un plazo de 30 minutos. Es posible que los resultados relacionados con la configuración de acceso público del nivel de cuenta no se generen ni actualicen hasta 6 horas después de haber cambiado la configuración. Es posible que los resultados relacionados con los puntos de acceso multirregionales no se generen ni actualicen hasta seis horas después de que se cree, elimine o cambie la política del punto de acceso multirregional.

¿Qué información proporciona Analizador de acceso de IAM para S3?

Analizador de acceso de IAM para S3 proporciona información sobre los buckets a los que se puede acceder fuera de su Cuenta de AWS. Cualquier usuario de Internet puede acceder a los buckets enumerados en Buckets with public access (Buckets con acceso público). Si Analizador de acceso de IAM para S3 identifica buckets públicos, también muestra una advertencia en la parte superior de la página, con el número de buckets públicos de la región. Los buckets enumerados en Buckets with access from other Cuentas de AWS — including third-party Cuentas de AWS (Buckets con acceso desde otras Cuentas de AWS, incluidas las Cuentas de AWS de terceros) se comparten de manera condicionada con otras Cuentas de AWS, incluidas las cuentas ajenas a su organización.

Para cada bucket, Analizador de acceso de IAM para S3 proporciona la siguiente información:

• Nombre del bucket

• Detectado por Analizador de acceso: cuando Analizador de acceso de IAM para S3 detecta el acceso público o compartido a los buckets.

• Compartido a través de: indica cómo se comparte el bucket, a través de una política de bucket, de una ACL de bucket o de ambas. Los puntos de acceso multirregionales y los puntos de acceso entre cuentas se reflejan en los puntos de acceso. Un bucket se puede compartir a través de políticas y ACL. Si desea buscar y revisar el origen del acceso al bucket, puede utilizar la información de esta columna como punto de partida para adoptar medidas correctivas inmediatas y precisas.

• Estado: el estado del resultado del bucket. Analizador de acceso de IAM para S3 muestra los resultados de todos los buckets públicos y compartidos.

  • Activo: no se ha revisado el resultado.

  • Archivado: el resultado se ha revisado y confirmado como previsto.

  • Todos: todos los resultados para los buckets públicos o compartidos con otras Cuentas de AWS, incluidas las Cuentas de AWS ajenas a la organización.

• Nivel de acceso: permisos de acceso concedidos para el bucket:

  • Lista: permite enumerar recursos.

  • Lectura: permite leer pero no editar el contenido y los atributos de los recursos.

  • Escritura: permite crear, eliminar o modificar recursos.

  • Permisos: permite conceder o modificar permisos de recursos.

  • Etiquetado: permite actualizar las etiquetas asociadas con el recurso.

Habilitación de Analizador de acceso de IAM para S3

Para usar Analizador de acceso de IAM para S3 debe completar los siguientes requisitos previos.

1. Concesión de permisos necesarios.

   Para obtener más información, consulte Permisos necesarios para usar Analizador de acceso de IAM en la guía del usuario de IAM.

2. Vaya a IAM para crear un analizador de cuenta para cada región en la que desee utilizar Analizador de acceso de IAM.

   Analizador de acceso de IAM para S3 requiere un analizador en el nivel de cuenta. Para utilizar Analizador de acceso de IAM para S3, debe crear un analizador que tenga una cuenta como zona de confianza. Para obtener más información, consulte Habilitación de Analizador de acceso de IAM en la guía del usuario de IAM.

Bloquear todo el acceso público

Si desea bloquear todo el acceso a un bucket con un solo clic, puede utilizar el botón Bloquear todo el acceso público en Analizador de acceso de IAM para S3. Cuando se bloquea todo el acceso público a un bucket, no se concede ningún acceso público. Recomendamos bloquear todo el acceso público a los buckets, a menos que se necesite acceso público para admitir un caso de uso específico y comprobado. Antes de bloquear todo el acceso público, asegúrese de que las aplicaciones seguirán funcionando correctamente sin ese acceso público.

Si no desea bloquear todo el acceso público al bucket, puede editar la configuración del bloqueo de acceso público en la consola de Amazon S3 para configurar niveles pormenorizados de acceso a los buckets. Para obtener más información, consulte Bloquear el acceso público a su almacenamiento de Amazon S3.

En casos excepcionales, Analizador de acceso de IAM para S3 podría no tener ningún resultado para un bucket que una evaluación del bloqueo de acceso público de Amazon S3 registre como pública. Esto sucede porque el bloqueo de acceso público de Amazon S3 revisa las políticas de las acciones actuales y todas las acciones posibles que podrían añadirse en el futuro, lo que hace que un bucket se convierta en público. Por otro lado, Analizador de acceso de IAM para S3 solo analiza las acciones actuales especificadas para el servicio de Amazon S3 en la evaluación del estado de acceso.

Para bloquear todo el acceso público a un bucket mediante Analizador de acceso de IAM para S3

1. Inicie sesión AWS Management Console Management Console y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

2. En el panel de navegación de la izquierda, en Dashboards (Paneles), elija Access analyzer for S3 (Analizador de acceso para S3).

3. En Analizador de acceso de IAM para S3, elija un bucket.

4. Elija Block all public access (Bloquear todo el acceso público).

5. Para confirmar su intención de bloquear todo el acceso público al bucket, en Block all public access (bucket settings) (Bloquear todo el acceso público (configuración del bucket)), escriba confirm.

   Amazon S3 bloquea todo el acceso público a su bucket. El estado de los resultados del bucket se actualiza a resuelto y el bucket desaparece del listado de Analizador de acceso de IAM para S3. Si desea revisar los buckets resueltos, abra Analizador de acceso de IAM en la consola de IAM.

Revisar y cambiar el acceso al bucket

Si no tiene intención de conceder acceso a las cuentas públicas u otras cuentas de Cuentas de AWS, incluidas las que son ajenas a la organización, puede modificar la ACL del bucket, la política del bucket o la política del punto de acceso para eliminar el acceso al bucket. La columna Shared through (Compartido a través de) muestra todos los orígenes de acceso a bucket: política de bucket, ACL de bucket y/o política de punto de acceso. Los puntos de acceso multirregionales y los puntos de acceso entre cuentas se reflejan en los puntos de acceso.

Para revisar y cambiar una política de bucket, una ACL de bucket o una política de punto de acceso

1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

2. En el panel de navegación, elija Access analyzer for S3 (Analizador de acceso para S3).

3. Para ver si se ha concedido acceso público o compartido mediante una política de bucket, una ACL de bucket o una política de punto de acceso, busque en la columna Shared through (Compartido a través de).

4. En Buckets, elija el nombre del bucket con la política de bucket, la ACL del bucket o la política de punto de acceso que desee cambiar o revisar.

5. Si desea cambiar o ver una ACL de bucket:

   1. Elija Permissions (Permisos).

   2. Elija Access Control List (Lista de control de acceso [ACL]).

   3. Revise la ACL del bucket y realice los cambios necesarios.

      Para obtener más información, consulte Configuración de la ACL.

6. Si desea cambiar o revisar una política de bucket:

   1. Elija Permissions (Permisos).

   2. Elija Bucket Policy (Política del bucket).

   3. Revise o cambie la política de bucket según sea necesario.

      Para obtener más información, consulte Agregar una política de bucket mediante la consola de Amazon S3.

7. Si desea revisar o cambiar una política de punto de acceso:

   1. Seleccionar Multi-Region Access Point (Punto de acceso para multirregiones).

   2. Elija el nombre del punto de acceso de multirregiones.

   3. Revise o cambie la política de punto de acceso para multirregiones según sea necesario.

      Para obtener más información, consulte Permisos.

8. Si desea revisar o cambiar una política de punto de acceso:

   1. Elija Access points (Puntos de acceso).

   2. Seleccione el nombre del punto de acceso.

   3. Revise o cambie el acceso según sea necesario.

      Para obtener más información, consulte Uso de puntos de acceso de Amazon S3 con la consola de Amazon S3.

   Si edita o elimina una ACL de bucket, una política de bucket o un punto de acceso para eliminar el acceso público o compartido, se actualiza el estado de los resultados del bucket, es decir, quedan resueltos. Los resultados del bucket resueltos desaparecen del listado de Analizador de acceso de IAM para S3, pero se pueden ver en Analizador de acceso de IAM.

Archivar resultados del bucket

Si un bucket concede acceso al público o a otras Cuentas de AWS, incluidas las que son ajenas a la organización, para admitir un caso de uso específico (por ejemplo: un sitio web estático, descargas públicas o uso compartido entre cuentas), puede archivar los resultados del bucket. Al archivar los resultados del bucket, usted confirma y registra su intención de que el bucket siga siendo público o compartido. Los resultados del bucket archivados permanecen en su listado de Analizador de acceso de IAM para S3 para que pueda saber en todo momento qué buckets son públicos o compartidos.

Para archivar los resultados de buckets en Analizador de acceso de IAM para S3

1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

2. En el panel de navegación, elija Access analyzer for S3 (Analizador de acceso para S3).

3. En Analizador de acceso de IAM para S3, elija un bucket activo.

4. Para confirmar su intención de que el público u otras Cuentas de AWS puedan obtener acceso a este bucket, incluidas las cuentas ajenas a la organización, elija Archive (Archivar).

5. Escriba confirm y elija Archive (Archivar).

Activar los resultados de los buckets archivados

Después de archivar los resultados, en cualquier momento puede volver a consultarlos y cambiar su estado para activarlos e indicar que el bucket requiere otra revisión.

Para activar un resultado de un bucket archivado en Analizador de acceso de IAM para S3

1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

2. En el panel de navegación, elija Access analyzer for S3 (Analizador de acceso para S3).

3. Elija los resultados del bucket archivado.

4. Seleccione Mark as active (Marcar como activos).

Consultar los detalles de los resultados

Si necesita más información sobre un bucket, puede abrir los detalles de los resultados del bucket en Analizador de acceso de IAM en la consola de IAM.

Para ver los detalles de los resultados en Analizador de acceso de IAM para S3

1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

2. En el panel de navegación, elija Access analyzer for S3 (Analizador de acceso para S3).

3. En Analizador de acceso de IAM para S3, elija un bucket.

4. Elija View details (Ver detalles).

   Los detalles del resultado se abren en Analizador de acceso de IAM en la consola de IAM.

Descarga de un informe de Analizador de acceso de IAM para S3

Puede descargar los resultados del bucket en un informe CSV que se puede utilizar con fines de auditoría. El informe incluye la misma información que se ve en Analizador de acceso de IAM para S3 en la consola de Amazon S3.

Para descargar un informe

1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

2. En el panel de navegación de la izquierda, elija Access a Analyzer for S3 (Analizador de acceso para S3).

3. En el filtro Region (Región), elija la región.

   Analizador de acceso de IAM para S3 se actualiza para mostrar los buckets de la región seleccionada.

4. Elija Download report (Descargar informe).

   Se genera un informe en formato CSV y se guarda en el equipo.