Bloquear el acceso público a su almacenamiento de Amazon S3
La característica Block Public Access de Amazon S3 proporciona la configuración de los puntos de acceso, los buckets y las cuentas, con el fin de ayudarle a administrar el acceso público a los recursos de Amazon S3. De forma predeterminada, los buckets, puntos de acceso y objetos nuevos no permiten el acceso público. Sin embargo, los usuarios pueden modificar las políticas de bucket, las políticas de punto de acceso o los permisos de objeto para permitir el acceso público. La configuración de S3 Block Public Access anula estas políticas y permisos para poder limitar el acceso público a estos recursos.
Con Block Public Access de S3, los administradores de cuentas y los propietarios de buckets pueden configurar fácilmente controles centralizados para limitar el acceso público a sus recursos de Amazon S3, que se aplican independientemente de cómo se creen los recursos.
Para obtener instrucciones sobre cómo configurar el acceso público en bloque, consulte Configuración de Block Public Access.
Cuando Amazon S3 recibe una solicitud para acceder a un bucket o a un objeto, determina si el bucket o la cuenta del propietario del bucket tiene aplicada una configuración de bloqueo de acceso público. Si la solicitud se realizó a través de un punto de acceso, Amazon S3 también comprueba la configuración de bloqueo de acceso público del punto de acceso. Si hay una configuración de bloqueo de acceso público que prohíbe el acceso solicitado, Amazon S3 rechaza la solicitud.
Block Public Access de Amazon S3 proporciona cuatro configuraciones. Estas configuraciones son independientes y se pueden usar en cualquier combinación. Cada configuración se puede aplicar a un punto de acceso, a un bucket o a una Cuenta de AWS completa. Si la configuración de bloqueo de acceso público para el punto de acceso, el bucket o la cuenta es diferente, Amazon S3 aplicará la combinación más restrictiva de la configuración del punto de acceso, el bucket y la cuenta.
Cuando Amazon S3 evalúa si una configuración de bloqueo de acceso público prohíbe una operación, rechaza cualquier solicitud que infrinja un punto de acceso, un bucket o una configuración de cuenta.
aviso
El acceso público se otorga a buckets y objetos a través de listas de control de acceso (ACL), políticas de punto de acceso, políticas de bucket o todas ellas. Para ayudar a garantizar que todos los puntos de acceso, buckets y objetos de Amazon S3 tienen su acceso público bloqueado, se recomienda activar los cuatro ajustes de bloqueo de acceso público de la cuenta. Estos ajustes bloquean el acceso público a todos los buckets y puntos de acceso actuales y futuros.
Antes de aplicar estos ajustes, verifique que sus aplicaciones funcionen correctamente sin acceso público. Si necesita algún nivel de acceso público a los buckets u objetos, como, por ejemplo, con el fin de alojar un sitio web estático, tal y como se describe en Alojamiento de un sitio web estático mediante Amazon S3, puede personalizar los ajustes individuales para que se adapten a sus casos de uso de almacenamiento.
nota
-
Puede habilitar la configuración de bloqueo de acceso público solo para los puntos de acceso, los buckets y las Cuentas de AWS. Amazon S3 no admite la configuración de bloqueo de acceso público por objeto.
-
Cuando aplica la configuración de bloqueo de acceso público a una cuenta, esta se aplica globalmente a todas las Regiones de AWS. La configuración podría no entrar en vigor en todas las regiones de manera inmediata o simultánea, pero acabará propagándose a todas las regiones.
Temas
- Configurar Block Public Access
- Realización de operaciones de acceso público de bloque en un punto de acceso
- Qué significa "pública"
- Uso de Analizador de acceso de IAM para S3 para revisar los buckets públicos
- Permisos
- Configuración de Block Public Access
- Establecer la configuración de Block Public Access para la cuenta
- Establecer la configuración de Block Public Access para sus buckets de S3
Configurar Block Public Access
S3 Block Public Access proporciona cuatro configuraciones. Puede aplicar esta configuración en cualquier combinación en puntos de acceso o buckets individuales o en Cuentas de AWS completas. Si aplica una configuración a una cuenta, se aplica a todos los buckets y puntos de acceso propiedad de esa cuenta. Del mismo modo, si aplica una configuración a un bucket, se aplica a todos los puntos de acceso asociados a ese bucket.
La siguiente tabla contiene las configuraciones disponibles
| Nombre | Descripción |
|---|---|
BlockPublicAcls |
Si se establece esta opción en
Cuando esta configuración se establece en notaLos puntos de acceso no tienen ACL asociadas a ellos. Si aplica esta configuración a un punto de acceso, actúa como paso a través del bucket subyacente. Si un punto de acceso tiene esta configuración habilitada, las solicitudes realizadas a través del punto de acceso se comportan como si el bucket subyacente tuviera esta configuración habilitada, independientemente de si el bucket la tiene habilitada o no. |
IgnorePublicAcls |
Al configurar esta opción en notaLos puntos de acceso no tienen ACL asociadas a ellos. Si aplica esta configuración a un punto de acceso, actúa como paso a través del bucket subyacente. Si un punto de acceso tiene esta configuración habilitada, las solicitudes realizadas a través del punto de acceso se comportan como si el bucket subyacente tuviera esta configuración habilitada, independientemente de si el bucket la tiene habilitada o no. |
BlockPublicPolicy |
La configuración de esta opción en Si se establece esta opción en Puede usar esta configuración para permitir a los usuarios administrar políticas de punto de acceso y de bucket sin permitirles compartir públicamente el bucket ni los objetos que contiene. Habilitar esta configuración no afecta a las políticas de punto de acceso o bucket existentes. importantePara usar esta configuración de manera eficaz, le recomendamos que la aplique en el nivel de cuenta. Una política de bucket puede permitir a los usuarios alterar la configuración de Block Public Access de un bucket. Por tanto, los usuarios que tienen permiso para cambiar una política de bucket podrían insertar una política que les permita deshabilitar la configuración de Block Public Access del bucket. Si se habilita esta configuración para toda la cuenta en lugar de para un bucket específico, entonces Amazon S3 bloquea políticas públicas incluso si un usuario altera la política del bucket para deshabilitar esta configuración. |
RestrictPublicBuckets |
El establecimiento de esta opción en La activación de este ajuste no afecta a las políticas de punto de acceso o bucket existentes, salvo que Amazon S3 bloquea el acceso público y entre cuentas derivado de cualquier política de punto de acceso o bucket pública, incluida la delegación no pública a cuentas específicas. |
importante
-
Las llamadas a GET Bucket acl y GET Object acl siempre devuelve los permisos efectivos instaurados para el bucket u objeto especificados. Por ejemplo, imagine que un bucket tiene un ACL que concede acceso público, pero el bucket también tiene la configuración
IgnorePublicAclshabilitada. En este caso, GET Bucket acl devuelve una ACL que refleja los permisos de acceso que Amazon S3 está implementando, en lugar de la ACL real asociada con el bucket. -
La configuración de Block Public Access no altera las políticas ni las ACL existentes. Por tanto, la eliminación de una configuración de Block Public Access provoca que pueda accederse de nuevo públicamente a un bucket o un objeto con una política pública o ACL.
Realización de operaciones de acceso público de bloque en un punto de acceso
Para realizar operaciones de Block Public Access en un punto de acceso, use el servicio de la AWS CLI s3control.
importante
Tenga en cuenta que actualmente no es posible cambiar la configuración de bloqueo de acceso público de un punto de acceso después de haberlo creado. Por lo tanto, la única forma de especificar la configuración de bloqueo de acceso público para un punto de acceso es incluirla al crear el punto de acceso.
Qué significa "pública"
ACL
Amazon S3 considera que una ACL de objetos o buckets es pública si concede cualquier permiso a los miembros de los grupos AllUsers o AuthenticatedUsers definidos previamente. Para obtener más información acerca de los grupos predefinidos, consulte Grupos predefinidos de Amazon S3.
Políticas de buckets
Al evaluar una política de bucket, Amazon S3 comienza suponiendo que la política es pública. A continuación, evalúa la política para determinar si califica como no pública. Para que se considere no pública, una política de bucket debe conceder acceso solo a valores fijos (valores que no contienen un comodín o una política variable de AWS Identity and Access Management) para uno o más de los siguientes:
-
Una entidad principal de AWS, un usuario, un rol o una entidad principal de servicio (por ejemplo,
aws:PrincipalOrgID) -
Un conjunto de Classless Inter-Domain Routings (CIDR), mediante
aws:SourceIp. Para obtener más información sobre CIDR, consulte RFC 4632en la página web de RFC EditoR. nota
Las políticas de buckets que otorgan acceso condicionado a la clave de condición
aws:SourceIpcon rangos de IP muy amplios (por ejemplo, 0.0.0.0/1) se evalúan como “públicas”. Esto incluye valores superiores a /8 para IPv4 y /32 para IPv6 (excluidos los rangos privados de RFC1918). Bloquear el acceso público rechazará estas políticas “públicas” e impedirá el acceso entre cuentas a los grupos que ya utilizan estas políticas “públicas”. -
aws:SourceArn -
aws:SourceVpc -
aws:SourceVpce -
aws:SourceOwner -
aws:SourceAccount -
s3:x-amz-server-side-encryption-aws-kms-key-id -
aws:userid, fuera del patrón "AROLEID:*" -
s3:DataAccessPointArnnota
Cuando se utiliza en una política de bucket, este valor puede contener un comodín para el nombre del punto de acceso sin mostrar la política pública, siempre y cuando el ID de cuenta sea fijo. Por ejemplo, permitir el acceso a
arn:aws:s3:us-west-2:123456789012:accesspoint/*permitiría el acceso a cualquier punto de acceso asociado con la cuenta123456789012de la regiónus-west-2sin hacer pública la política de bucket. Tenga en cuenta que este comportamiento es diferente para las políticas de punto de acceso. Para obtener más información, consulte Puntos de acceso. -
s3:DataAccessPointAccount
Para obtener más información acerca de las políticas de bucket, consulte Políticas de bucket y de usuario.
ejemplo : políticas de buckets públicas
En virtud de estas reglas, las siguientes políticas de ejemplo se consideran públicas:
{ "Principal": { "Federated": "graph.facebook.com" }, "Resource": "*", "Action": "s3:PutObject", "Effect": "Allow" }
{ "Principal": "*", "Resource": "*", "Action": "s3:PutObject", "Effect": "Allow" }
{ "Principal": "*", "Resource": "*", "Action": "s3:PutObject", "Effect": "Allow", "Condition": { "StringLike": {"aws:SourceVpc": "vpc-*"}} }
Puede convertir estas políticas en no públicas incluyendo cualquiera de las claves de condición indicadas con anterioridad, utilizando un valor fijo. Por ejemplo, puede convertir la última política de arriba en no pública estableciendo aws:SourceVpc en un valor fijo, como el siguiente:
{ "Principal": "*", "Resource": "*", "Action": "s3:PutObject", "Effect": "Allow", "Condition": {"StringEquals": {"aws:SourceVpc": "vpc-91237329"}} }
Cómo evalúa Amazon S3 una política de bucket que contiene concesiones de acceso público y no público
Este ejemplo muestra cómo evalúa Amazon S3 una política de bucket que contiene concesiones de acceso público y no público.
Imagine que un bucket tiene una política que concede acceso a un conjunto de entidades principales fijas. Bajo las reglas descritas con anterioridad, esta política no es pública. Por tanto, si habilita la configuración RestrictPublicBuckets, la política permanece en efecto tal y como está redactada, porque RestrictPublicBuckets solo se aplica a buckets que tienen políticas públicas. Sin embargo, si añade una instrucción pública a la política, RestrictPublicBuckets surtirá efecto en el bucket. Solo permite que las entidades principales del servicio de AWS y los usuarios autorizados de la cuenta del propietario del bucket tengan acceso al bucket.
Suponga, por ejemplo, que un bucket propiedad de "Cuenta-1 tiene una política que contiene lo siguiente:
-
Una instrucción que concede acceso a AWS CloudTrail (que es una entidad principal de servicio de AWS)
-
Una instrucción que concede acceso a la cuenta "Cuenta-2"
-
Una instrucción que concede acceso al público, especificando, por ejemplo,
"Principal": "*"sinConditionlimitante
Esta política califica como pública debido a la tercera instrucción. Con esta política en vigor y RestrictPublicBuckets activado, Amazon S3 solo permite obtener acceso a CloudTrail. Aunque la instrucción 2 no es pública, Amazon S3 deshabilita el acceso de la "Cuenta-2". Esto se debe a que la instrucción 3 convierte en pública a toda la política, por lo que se aplica RestrictPublicBuckets. Como consecuencia, Amazon S3 deshabilita el acceso entre cuentas, aunque la política delega el acceso a una cuenta específica, "Cuenta-2". Pero si elimina la instrucción 3 de la política, la política no califica como pública y RestrictPublicBuckets ya no es aplicable. Así, "Cuenta-2" recupera el acceso al bucket, aunque deje RestrictPublicBuckets habilitado.
Puntos de acceso
Amazon S3 evalúa la configuración del bloqueo de acceso público de un modo ligeramente diferente para los puntos de acceso en comparación con los buckets. Las reglas que Amazon S3 aplica para determinar cuándo una política de punto de acceso es pública suelen ser las mismas para los puntos de acceso que para los buckets, excepto en las situaciones siguientes:
-
Un punto de acceso que tiene un origen de red VPC siempre se considera no público, independientemente del contenido de su política de punto de acceso.
-
Una política de punto de acceso que concede acceso a un conjunto de puntos de acceso que utilizan
s3:DataAccessPointArnse considera pública. Tenga en cuenta que este comportamiento es diferente al de las políticas de bucket. Por ejemplo, una política de bucket que concede acceso a los valores des3:DataAccessPointArnque coinciden conarn:aws:s3:us-west-2:123456789012:accesspoint/*no se considera pública. Sin embargo, la misma instrucción en una política de punto de acceso haría público el punto de acceso.
Uso de Analizador de acceso de IAM para S3 para revisar los buckets públicos
Puede utilizar Analizador de acceso de IAM para S3 para revisar los buckets con ACL de bucket, las políticas de bucket o las políticas de punto de acceso que otorgan acceso público. Analizador de acceso de IAM para S3 le avisa de los buckets que están configurados para permitir el acceso a cualquier usuario de Internet u otras Cuentas de AWS, incluidas aquellas Cuentas de AWS ajenas a la organización. Para cada bucket público o compartido, recibirá resultados que le informarán del origen y el nivel de acceso público o compartido.
En Analizador de acceso de IAM para S3, puede bloquear todo el acceso público a un bucket con un solo clic. También puede examinar a fondo las configuraciones de permisos de bucket para configurar niveles pormenorizados de acceso. Para casos de uso específicos y verificados que requieren acceso público o compartido, puede reconocer y registrar su intención de que el bucket continúe siendo público o compartido archivando los resultados del bucket.
En casos excepcionales, Analizador de acceso de IAM para S3 podría no tener ningún resultado para un bucket que una evaluación del bloqueo de acceso público de Amazon S3 registre como pública. Esto sucede porque el bloqueo de acceso público de Amazon S3 revisa las políticas de las acciones actuales y todas las acciones posibles que podrían añadirse en el futuro, lo que hace que un bucket se convierta en público. Por otro lado, Analizador de acceso de IAM para S3 solo analiza las acciones actuales especificadas para el servicio de Amazon S3 en la evaluación del estado de acceso.
Para obtener más información acerca de Analizador de acceso de IAM para S3, consulte Revisión del acceso al bucket mediante Analizador de acceso de IAM para S3.
Permisos
Para usar características del bloqueo de acceso público de Amazon S3, debe contar con los siguientes permisos:
| Operation | Permisos necesarios |
|---|---|
| Estado de la política de bucket de GET | s3:GetBucketPolicyStatus |
| Configuración de Block Public Access de GET bucket | s3:GetBucketPublicAccessBlock |
| Configuración de Block Public Access de PUT bucket | s3:PutBucketPublicAccessBlock |
| Configuración de Block Public Access de DELETE bucket | s3:PutBucketPublicAccessBlock |
| Configuración de Block Public Access de GET account | s3:GetAccountPublicAccessBlock |
| Configuración de Block Public Access de PUT account | s3:PutAccountPublicAccessBlock |
| Configuración de Block Public Access de DELETE account | s3:PutAccountPublicAccessBlock |
| Configuración de bloqueo de acceso público de punto de acceso PUT | s3:CreateAccessPoint |
nota
Las operaciones DELETE necesitan los mismos permisos que las operaciones PUT. NO hay permisos separados para las operaciones DELETE.
Configuración de Block Public Access
Para obtener más información sobre cómo configurar el bloqueo de acceso público para su Cuenta de AWS y sus buckets de Amazon S3, consulte los siguientes temas.
