Examen de l'accès aux compartiments à l'aide de l'analyseur d'accès IAM pour S3 - Amazon Simple Storage Service
Quelles informations l'analyseur d'accès IAM pour S3 fournit-il ?Activation de l'analyseur d'accès IAM pour S3Blocage de tous les accès publicsVérification et modification de l'accès à un compartimentArchivage des résultats de compartimentActivation d'un résultat de compartiment archivéAffichage des détails de résultatsTéléchargement d'un rapport de l'analyseur d'accès IAM pour S3

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Examen de l'accès aux compartiments à l'aide de l'analyseur d'accès IAM pour S3

IAM Access Analyzer for S3 vous avertit de la présence de compartiments S3 configurés pour autoriser l'accès à toute personne sur Internet ou autre Comptes AWS, y compris Comptes AWS en dehors de votre organisation. Pour chaque compartiment public ou partagé, vous recevez des résultats portant sur la source et le niveau des accès public ou partagé. Par exemple, l'analyseur d'accès IAM pour S3 peut montrer qu'un compartiment dispose d'un accès en lecture ou en écriture fourni via une liste de contrôle d'accès (ACL) de compartiment, une politique de compartiment, une politique de point d'accès multirégion ou une politique de point d'accès. Grâce à ces résultats, vous pouvez prendre des mesures correctives immédiates et précises pour rétablir l'accès à votre compartiment comme vous l'aviez prévu.

Lorsque vous examinez un compartiment à risque dans l'analyseur d'accès IAM pour S3, vous pouvez bloquer tout accès public au compartiment en un seul clic. Nous vous recommandons de bloquer tous les accès à vos compartiments, sauf si vous avez besoin d'un accès public pour prendre en charge un cas d'utilisation spécifique. Avant de bloquer tout accès public, assurez-vous que vos applications continueront à fonctionner correctement sans accès public. Pour plus d’informations, consultez Blocage de l'accès public à votre stockage Amazon S3.

Vous pouvez également aller plus loin en configurant des niveaux d'accès précis dans les paramètres des niveaux d'autorisation des compartiments. Pour des cas d'utilisation spécifiques et vérifiés nécessitant un accès public, tels que l'hébergement statique de site web, les téléchargements publics ou le partage entre comptes, vous pouvez confirmer et enregistrer votre intention pour que le compartiment reste public ou partagé en archivant les résultats du compartiment. Vous pouvez revisiter et modifier ces configurations de compartiments à tout moment. Vous pouvez également télécharger vos résultats sous forme de rapport CSV à des fins d'audit.

L'analyseur d'accès IAM pour S3 est disponible gratuitement sur la console Amazon S3. L'analyseur d'accès IAM pour S3 est optimisé par l'analyseur d'accès IAM d' AWS Identity and Access Management (IAM). Pour utiliser IAM Access Analyzer pour S3 dans la console Amazon S3, vous devez visiter la console IAM et activer IAM Access Analyzer par région.

Pour plus d'informations sur IAM Access Analyzer, voir Qu'est-ce qu'IAM Access Analyzer ? dans le guide de l'utilisateur IAM. Pour plus d'informations sur l'analyseur d'accès IAM pour S3, consultez les sections suivantes.

Important

  • L'analyseur d'accès IAM pour S3 nécessite un analyseur au niveau du compte. Pour utiliser IAM Access Analyzer pour S3, vous devez visiter IAM Access Analyzer et créer un analyseur doté d'un compte comme zone de confiance. Pour plus d'informations, consultez Activation de l'analyseur d'accès IAM dans le Guide de l'utilisateur IAM.

  • L'analyseur d'accès IAM pour S3 n'analyse pas la politique de point d'accès qui est attachée aux points d'accès intercomptes. Ce comportement se produit parce que le point d'accès et sa politique sont en dehors de la zone de confiance, c'est-à-dire du compte. Les compartiments qui délèguent l'accès à un point d'accès intercompte sont répertoriés sous Buckets with public access (Compartiments avec accès public) si vous n'avez pas appliqué le paramètre de blocage de l'accès public RestrictPublicBuckets au compartiment ou au compte. Lorsque vous appliquez le paramètre de RestrictPublicBuckets blocage de l'accès public, le compartiment est indiqué sous Compartiments accessibles par d'autres Comptes AWS personnes, y compris par des tiers Comptes AWS.

  • Lorsqu'une politique de compartiment ou une liste de contrôle d'accès (ACL) de compartiment est ajoutée ou modifiée, l'analyseur d'accès IAM génère et met à jour les résultats en fonction de la modification dans un délai de 30 minutes. Il peut s'écouler jusqu'à six heures avant que les résultats relatifs aux paramètres de blocage de l'accès public au niveau du compte ne soient générés ou mis à jour après la modification des paramètres. Les résultats relatifs aux points d'accès multi-régions ne peuvent pas être générés ou mis à jour pendant six heures au maximum après la création, la suppression d'un point d'accès multi-régions ou la modification de sa politique.

Quelles informations l'analyseur d'accès IAM pour S3 fournit-il ?

L'analyseur d'accès IAM pour S3 fournit des résultats pour les compartiments accessibles hors de votre Compte AWS. Les compartiments répertoriés sous Compartiments avec accès public sont accessibles par n'importe quel utilisateur d'Internet. Si l'analyseur d'accès IAM pour S3 identifie des compartiments publics, un avertissement en haut de la page indique le nombre de compartiments publics figurant dans votre région. Les compartiments répertoriés sous Compartiments accessibles depuis des tiers, y compris des tiers, Comptes AWS sont partagés conditionnellement avec d'autres personnes Comptes AWS, y compris des comptes extérieurs à votre organisation. Comptes AWS

Pour chaque compartiment, l'analyseur d'accès IAM pour S3 fournit les informations suivantes :

  • Nom du compartiment

  • Découvert par Access Analyzer : quand l'analyseur d'accès IAM pour S3 a découvert l'accès aux compartiments publics ou partagés.

  • Shared through (Partagé via) – Mode de partage du compartiment : via une politique de compartiment, une liste de contrôle d'accès (ACL) ou une politique de point d'accès. Les points d'accès multi-régions et les points d'accès intercompte figurent sous la rubrique points d'accès. Un compartiment peut être partagé via des politiques et des listes de contrôle d'accès. Si vous souhaitez rechercher et examiner la source de votre accès au compartiment, vous pouvez utiliser les informations de cette colonne comme point de départ pour prendre des mesures correctives immédiates et précises.

  • Status (Statut) – Statut du résultat de compartiment. L'analyseur d'accès IAM pour S3 affiche les résultats pour tous les compartiments publics et partagés.

    • Active (Actif) – Le résultat n'a pas été vérifié.

    • Archived (Archivé) – Le résultat a été vérifié et confirmé comme prévu.

    • Tous ‐ Tous les résultats relatifs à des buckets publics ou partagés avec d'autres personnes Comptes AWS, y compris Comptes AWS en dehors de votre organisation.

  • Access level (Niveau d'accès) – Autorisations d'accès accordées pour le compartiment :

    • List (Liste) – Répertorier les ressources.

    • Read (Lecture) – Lire mais ne pas modifier les contenus et attributs de ressources.

    • Write (Écriture) – Créer, supprimer ou modifier des ressources.

    • Permissions (Autorisations) – Accorder ou modifier des autorisations de ressources.

    • Tagging (Balisage) – Mettre à jour les balises associées à la ressource.

Activation de l'analyseur d'accès IAM pour S3

Pour utiliser l'analyseur d'accès IAM pour S3, vous devez effectuer les étapes prérequises suivantes.

  1. Accordez les autorisations requises.

    Pour plus d'informations, consultez Autorisations requises pour l'utilisation de l'analyseur d'accès IAM dans le Guide de l'utilisateur IAM.

  2. Accédez à IAM pour créer un analyseur au niveau du compte pour chaque région où vous souhaitez utiliser l'analyseur d'accès IAM.

    L'analyseur d'accès IAM pour S3 nécessite un analyseur au niveau du compte. Pour utiliser l'analyseur d'accès IAM pour S3, vous devez créer un analyseur doté d'un compte comme zone de confiance. Pour plus d'informations, consultez Activation de l'analyseur d'accès IAM dans le Guide de l'utilisateur IAM.

Blocage de tous les accès publics

Si vous souhaitez bloquer tout accès à un compartiment en un seul clic, vous pouvez utiliser le bouton Bloquer tout l'accès public dans l'analyseur d'accès IAM pour S3. Lorsque vous bloquez tout accès public à un compartiment, aucun accès public n'est accordé. Nous vous recommandons de bloquer tous les accès publics à vos compartiments, sauf si vous avez besoin d'un accès public pour prendre en charge un cas d'utilisation spécifique et vérifié. Avant de bloquer tout accès public, assurez-vous que vos applications continueront à fonctionner correctement sans accès public.

Si vous ne souhaitez pas bloquer tous les accès publics à votre compartiment, vous pouvez modifier vos paramètres de blocage de l'accès public dans la console Amazon S3 pour configurer des niveaux d'accès précis à vos compartiments. Pour plus d’informations, consultez Blocage de l'accès public à votre stockage Amazon S3.

Dans de rares cas, l'analyseur d'accès IAM pour S3 peut ne signaler aucun résultat pour un compartiment qu'une évaluation du blocage de l'accès public Amazon S3 signale comme public. Cela se produit parce que le blocage de l'accès public Amazon S3 examine les stratégies pour les actions en cours et les actions potentielles qui pourraient être ajoutées à l'avenir, ce qui rend un compartiment public. D'autre part, l'analyseur d'accès IAM pour S3 analyse uniquement les actions en cours spécifiées pour le service Amazon S3 dans l'évaluation du statut d'accès.

Pour bloquer tout accès public à un compartiment à l'aide de l'analyseur d'accès IAM pour S3

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation de gauche, sous Dashboards (Tableaux de bord), choisissez Access Analyzer for S3 (Analyseur d'accès pour S3).

  3. Dans l'analyseur d'accès IAM pour S3, choisissez un compartiment.

  4. Choisissez Block all public access (Bloquer tous les accès publics).

  5. Pour confirmer votre intention de bloquer tout accès public au compartiment, dans Block all public access (bucket settings) (Bloquer tout accès public (paramètres du compartiment)), entrez confirm.

    Amazon S3 bloque tout accès public à votre compartiment. Le statut du résultat de compartiment devient résolu et le compartiment disparaît de la liste de l'analyseur d'accès IAM pour S3. Si vous souhaitez consulter les buckets résolus, ouvrez IAM Access Analyzer sur la console IAM.

Vérification et modification de l'accès à un compartiment

Si vous n'aviez pas l'intention d'accorder l'accès au public ou à d'autres Comptes AWS personnes, y compris à des comptes extérieurs à votre organisation, vous pouvez modifier l'ACL du bucket, la politique du bucket, la politique du point d'accès multirégional ou la politique du point d'accès pour supprimer l'accès au bucket. La colonne Shared through (Partagé via) affiche toutes les sources d'accès au compartiment : politique de compartiment, ACL de compartiment et/ou politique de point d'accès. Les points d'accès multi-régions et les points d'accès intercompte figurent sous la rubrique points d'accès.

Pour consulter et modifier une politique de compartiment, une liste ACL de compartiment ou une politique de point d'accès

  1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Access Analyzer for S3 (Analyseur d'accès pour S3).

  3. Pour déterminer si l'accès public ou l'accès partagé est accordé via une politique de compartiment, une liste de contrôle d'accès de compartiment ou une politique de point d'accès, consultez la colonne Shared through (Partagé via).

  4. Sous Buckets (Compartiments), choisissez le nom du compartiment avec la politique de compartiment, la liste ACL de compartiment, la politique de point d'accès multi-Régions ou la politique de point d'accès que vous souhaitez modifier ou vérifier.

  5. Si vous souhaitez modifier ou consulter la liste ACL d'un compartiment :

    1. Choisissez Permissions.

    2. Choisissez Access Control List.

    3. Consultez la liste ACL de votre compartiment et apportez les modifications nécessaires.

      Pour plus d’informations, consultez Configuration des listes ACL.

  6. Si vous souhaitez modifier ou vérifier une politique de compartiment :

    1. Choisissez Permissions.

    2. Choisissez Stratégie de compartiment.

    3. Vérifiez ou modifiez votre politique de compartiment selon vos besoins.

      Pour plus d’informations, consultez Ajout d'une stratégie de compartiment à l'aide de la console Amazon S3.

  7. Si vous souhaitez consulter ou modifier une politique de point d'accès :

    1. ChoisissezPoint d'accès multi-Régions.

    2. Choisissez le nom du point d'accès multi-Régions.

    3. Vérifiez ou modifiez votre politique de point d'accès multi-Régions selon vos besoins.

      Pour plus d’informations, consultez Autorisations.

  8. Si vous souhaitez consulter ou modifier une politique de point d'accès :

    1. Choisissez Access Points (Points d'accès).

    2. Choisissez le nom du point d'accès.

    3. Vérifiez ou modifiez l'accès en fonction de vos besoins.

      Pour plus d’informations, consultez Utilisation des points d'accès Amazon S3 dans la console Amazon S3.

    Si vous modifiez ou supprimez une liste ACL de compartiment, une politique de compartiment ou une politique de point d'accès pour supprimer l'accès public ou partagé, le statut du compartiment devient « résolu ». Les résultats du bucket résolus disparaissent de la liste IAM Access Analyzer pour S3, mais vous pouvez les consulter dans IAM Access Analyzer.

Archivage des résultats de compartiment

Si un bucket accorde l'accès au public ou à d'autres personnes Comptes AWS, y compris à des comptes extérieurs à votre organisation, pour prendre en charge un cas d'utilisation spécifique (par exemple, un site Web statique, des téléchargements publics ou le partage entre comptes), vous pouvez archiver les résultats du bucket. Lorsque vous archivez les résultats d'un compartiment, vous confirmez et enregistrez votre intention de le garder public ou partagé. Les résultats de compartiment archivés restent dans votre liste de l'analyseur d'accès IAM pour S3 pour que vous sachiez toujours quels compartiments sont publics ou partagés.

Pour archiver les résultats de compartiment dans l'analyseur d'accès IAM pour S3

  1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Access Analyzer for S3 (Analyseur d'accès pour S3).

  3. Dans l'analyseur d'accès IAM pour S3, choisissez un compartiment actif.

  4. Pour confirmer votre intention de rendre ce compartiment accessible au public ou à d'autres personnes Comptes AWS, y compris à des comptes extérieurs à votre organisation, choisissez Archiver.

  5. Entrez confirm, puis choisissez Archive (Archiver).

Activation d'un résultat de compartiment archivé

Après avoir archivé des résultats, vous pouvez toujours les revoir et faire passer leur statut à « actif », ce qui indique que le compartiment nécessite une autre vérification.

Pour activer un résultat de compartiment archivé dans l'analyseur d'accès IAM pour S3

  1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Access Analyzer for S3 (Analyseur d'accès pour S3).

  3. Choisissez les résultats de compartiment archivés.

  4. Choisissez Mark as active (Marquer comme actif).

Affichage des détails de résultats

Si vous avez besoin de plus d'informations sur un bucket, vous pouvez ouvrir les informations relatives à la recherche du bucket dans IAM Access Analyzer sur la console IAM.

Pour afficher les détails des résultats dans l'analyseur d'accès IAM pour S3

  1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Access Analyzer for S3 (Analyseur d'accès pour S3).

  3. Dans l'analyseur d'accès IAM pour S3, choisissez un compartiment.

  4. Choisissez Afficher les détails.

    Les détails de la recherche s'affichent dans IAM Access Analyzer sur la console IAM.

Téléchargement d'un rapport de l'analyseur d'accès IAM pour S3

Vous pouvez télécharger vos résultats de compartiment sous la forme d'un rapport CSV que vous pouvez utiliser à des fins d'audit. Ce rapport inclut les mêmes informations que celles que vous voyez dans l'analyseur d'accès IAM pour S3 dans la console Amazon S3.

Pour télécharger un rapport

  1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation de gauche, choisissez Access Analyzer for S3 (Analyseur d'accès pour S3).

  3. Dans le filtre de Région, sélectionnez la Région.

    L'analyseur d'accès IAM pour S3 est mis à jour pour afficher les compartiments pour la région choisie.

  4. Choisissez Download report (Télécharger le rapport).

    Un rapport CSV est généré et enregistré sur votre ordinateur.