Blocco dell'accesso pubblico allo storage Amazon S3 - Amazon Simple Storage Service

Blocco dell'accesso pubblico allo storage Amazon S3

La caratteristica di blocco dell'accesso pubblico di Amazon S3 fornisce le impostazioni per access point, bucket e account con cui è possibile gestire l'accesso pubblico alle risorse di Amazon S3. Per impostazione predefinita, nuovi bucket, access point e oggetti non consentono l'accesso pubblico. Tuttavia, gli utenti possono modificare le policy di bucket, le policy di access point o le autorizzazioni degli oggetti per consentire l'accesso pubblico. Le impostazioni di blocco dell'accesso pubblico in S3 sostituiscono le policy e le autorizzazioni, in modo da limitare l'accesso pubblico a queste risorse.

Con il blocco dell'accesso pubblico S3, gli amministratori degli account e i proprietari dei bucket possono limitare l'accesso pubblico alle risorse di Amazon S3 configurando facilmente controlli centralizzati, che vengono applicati indipendentemente dal modo in cui vengono create le risorse.

Per istruzioni sulla configurazione dell'accesso pubblico ai blocchi, consulta Configurazione del blocco dell'accesso pubblico.

Quando Amazon S3 riceve una richiesta di accesso a un bucket o a un oggetto, determina se per il bucket o l'account del proprietario del bucket è applicata un'impostazione di blocco dell'accesso pubblico. Se la richiesta è stata effettuata tramite un access point, Amazon S3 controlla anche la presenza di impostazioni di blocco dell'accesso pubblico per l'access point. Se è presente un'impostazione di blocco dell'accesso pubblico che vieta l'accesso richiesto, Amazon S3 rifiuta la richiesta.

Il blocco dell'accesso pubblico di Amazon S3 comprende quattro impostazioni. Queste impostazioni sono indipendenti e possono essere usate in qualunque combinazione. Ogni impostazione può essere applicata a un punto di accesso, a un bucket o a un intero Account AWS. Se le impostazioni di blocco dell'accesso pubblico per l'access point, il bucket o l'account sono diverse, Amazon S3 applica la combinazione più restrittiva di impostazioni.

Quando Amazon S3 valuta se un'operazione è vietata da un'impostazione di blocco dell'accesso pubblico, rifiuta qualsiasi richiesta che viola un'impostazione a livello di access point, bucket o account.

avvertimento

L'accesso pubblico viene concesso a bucket e oggetti tramite liste di controllo accessi (ACL), policy per access point, policy di bucket o tutti. Per garantire che l'accesso pubblico sia bloccato per tutti gli access point, i bucket e gli oggetti di Amazon S3, ti consigliamo di attivare tutte e quattro le impostazioni per bloccare l'accesso pubblico per l'account. Queste impostazioni bloccano l'accesso pubblico per tutti i bucket e access point correnti e futuri.

Prima di applicare queste impostazioni, verifica che le applicazioni funzionino correttamente senza accesso pubblico. Se è richiesto un certo livello di accesso pubblico ai bucket o agli oggetti, ad esempio per ospitare un sito Web statico come descritto in Hosting di un sito Web statico tramite Amazon S3, puoi personalizzare le impostazioni individuali in funzione dei casi d'uso di storage.

Nota
  • È possibile abilitare le impostazioni di blocco dell'accesso pubblico solo per i punti di accesso, i bucket e gli Account AWS. Amazon S3 non supporta le impostazioni di blocco dell'accesso pubblico per i singoli oggetti.

  • Quando le impostazioni di blocco dell'accesso pubblico vengono applicate a un account, vengono applicate anche a tutte le Regioni AWS a livello globale. Le impostazioni possono non diventare effettive in tutte le regioni immediatamente o allo stesso momento, ma vengono infine propagate in tutte le regioni.

Impostazioni di blocco dell'accesso pubblico

Il blocco dell'accesso pubblico in S3 comprende quattro impostazioni. È possibile applicare queste impostazioni in qualsiasi combinazione a singoli access point, bucket o a interi account Account AWS. Se applichi un'impostazione a un account, l'impostazione viene applicata a tutti i bucket e gli access point di proprietà dell'account. Analogamente, se applichi un'impostazione a un bucket, questa si applica a tutti gli access point associati al bucket.

La tabella seguente contiene le impostazioni disponibili.

Nome Descrizione
BlockPublicAcls

Se questa opzione è impostata su TRUE, produce il comportamento seguente:

  • Le chiamate PUT Bucket acl e PUT Object acl non riescono se la lista di controllo degli accessi (ACL) specificata è pubblica.

  • Le chiamate PUT Object non riescono se la richiesta include una lista di controllo accessi pubblica.

  • Se questa impostazione viene applicata a un account, le chiamate PUT Bucket non riescono se la richiesta include una lista di controllo accessi pubblica.

Quando questa opzione è impostata su TRUE, le operazioni specificate non si concludono correttamente (tramite REST API, la AWS CLI o gli SDK AWS). Tuttavia, le policy e le liste di controllo accessi esistenti per bucket e oggetti non vengono modificate. Questa impostazione protegge l'ambiente dall'accesso pubblico, permettendo di controllare, perfezionare o modificare in altro modo le policy e le liste di controllo accessi per i bucket e gli oggetti.

Nota

Gli access point non hanno ACL associate. Se applicata a un access point, questa impostazione funge da passthrough al bucket sottostante. Se in un access point è attivata questa impostazione, le richieste effettuate tramite l'access point si comportano come se il bucket sottostante avesse abilitato questa impostazione, indipendentemente dal fatto che il bucket abbia o meno effettivamente abilitato questa impostazione.

IgnorePublicAcls

Se questa opzione è impostata su TRUE, Amazon S3 ignora tutte le liste ACL pubbliche in un bucket e negli oggetti contenuti. Questa impostazione permette di bloccare in modo sicuro l'accesso pubblico concesso da liste di controllo accessi, permettendo comunque le chiamate PUT Object che includono una lista di controllo accessi pubblica (diversamente da BlockPublicAcls, che rifiuta le chiamate PUT Object che includono una lista di controllo accessi pubblica). L'abilitazione di questa impostazione non influisce sulla persistenza di qualsiasi lista di controllo accessi esistente e non impedisce l'impostazione di nuove liste di controllo accessi pubbliche.

Nota

Gli access point non hanno ACL associate. Se applicata a un access point, questa impostazione funge da passthrough al bucket sottostante. Se in un access point è attivata questa impostazione, le richieste effettuate tramite l'access point si comportano come se il bucket sottostante avesse abilitato questa impostazione, indipendentemente dal fatto che il bucket abbia o meno effettivamente abilitato questa impostazione.

BlockPublicPolicy

Se questa opzione è impostata su TRUE per un bucket, Amazon S3 rifiuta le chiamate alla policy PUT Bucket se la policy del bucket specificata permette l'accesso pubblico e rifiuta le chiamate alla policy PUT degli access point per tutti i punti di accesso del bucket se la policy specificata consente l'accesso pubblico. Se questa opzione è impostata su TRUE per un access point, Amazon S3 rifiuta le chiamate alla policy PUT degli access point e alla policy PUT del bucket effettuata tramite l'access point se la policy specificata (per l'access point o il bucket sottostante) è pubblica.

Tramite questa impostazione puoi permettere agli utenti di gestire policy di bucket e access point impedendo loro di condividere pubblicamente il bucket o gli oggetti che contiene. L'abilitazione di questa impostazione non influisce sulle policy di access point o di bucket esistenti.

Importante

Per usare questa impostazione in modo efficace, devi applicarla a livello di account. Una policy del bucket può consentire agli utenti di modificare le impostazioni di blocco dell'accesso pubblico di un bucket. Gli utenti autorizzati a modificare la policy del bucket potrebbero inserire una policy che permette loro di disabilitare le impostazioni di blocco dell'accesso pubblico per il bucket. Se questa impostazione è abilitata per l'intero account anziché per un bucket specifico, Amazon S3 blocca le policy pubbliche anche se un utente modifica la policy del bucket per disabilitare l'impostazione.

RestrictPublicBuckets

Se questa opzione è impostata su TRUE, l'accesso a un access point o a un bucket con una policy pubblica viene limitato ai soli utenti autorizzati e servizi AWS all'interno dell'account del proprietario del bucket. Questa impostazione blocca tutti gli accessi tra più account all'access point o al bucket, ad eccezione dei servizi AWS, permettendo comunque di gestire l'access point o il bucket agli utenti all'interno dell'account.

L'abilitazione di questa impostazione non influisce sulle policy dell'access point o del bucket esistenti, eccetto che per il fatto che Amazon S3 blocca l'accesso pubblico e multiaccount derivato da qualsiasi policy dell'access point o del bucket pubblica, inclusa la delega non pubblica ad account specifici.

Importante
  • Le chiamate a GET Bucket acl e GET Object acl restituiscono sempre le autorizzazioni valide necessarie per il bucket o l'oggetto specificato. Ad esempio, supponiamo che un bucket sia associato a una lista di controllo accessi che concede l'accesso pubblico, ma che per il bucket sia anche abilitata l'impostazione IgnorePublicAcls. In questo caso, GET Bucket acl restituisce una lista ACL che riflette le autorizzazioni di accesso applicate da Amazon S3, anziché la lista ACL effettiva associata al bucket.

  • Le impostazioni del blocco dell'accesso pubblico non modificano le policy o ACL esistenti. La rimozione di una di queste impostazioni fa sì che un bucket o un oggetto con una policy o una lista di controllo accessi pubblica torni pubblicamente accessibile.

Esecuzione di operazioni di accesso pubblico di blocco su un punto di accesso

Per eseguire operazioni di blocco dell'accesso pubblico su un access point, usa il servizio s3control di AWS CLI.

Importante

Tieni presente che al momento non è possibile modificare le impostazioni di blocco dell'accesso pubblico di un access point dopo aver creato l'access point. Pertanto, l'unico modo per specificare le impostazioni di blocco dell'accesso pubblico per un access point è includerle durante la creazione dell'access point.

Significato di "pubblico"

Bucket

Liste di controllo accessi

Amazon S3 considera pubblica una lista ACL di un bucket o di un oggetto se questa concede qualsiasi autorizzazione a membri dei gruppi predefiniti AllUsers e AuthenticatedUsers. Per ulteriori informazioni sui gruppi predefiniti, consulta Gruppi predefiniti di Amazon S3.

Policy di bucket

Quando valuta la policy di un bucket, Amazon S3 inizia presumendo che la policy sia pubblica. Quindi valuta la policy per determinare se si qualifica come non pubblica. Per essere considerata non pubblica, una policy di bucket deve concedere l'accesso solo a valori fissi (valori che non contengono caratteri jolly o una variabile di policy AWS Identity and Access Management) di uno o più degli elementi seguenti:

  • Un'entità principale, un utente, un ruolo o un'entità principale del servizio AWS (ad esempio, aws:PrincipalOrgID)

  • Un set di Classless Inter-Domain Routing (CIDR) tramite aws:SourceIp. Per ulteriori informazioni sui CIDR, consulta RFC 4632 nel sito Web RFC Editor.

    Nota

    Le policy di bucket che concedono l'accesso in base alla chiave di condizione aws:SourceIp con intervalli IP molto ampi (ad esempio 0.0.0.0/1) vengono considerate "pubbliche". Sono inclusi valori superiori a /8 per IPv4 e /32 per IPv6 (esclusi gli intervalli privati RFC1918). Il blocco dell'accesso pubblico rifiuterà queste policy "pubbliche" e impedirà l'accesso multi-account ai bucket che già utilizzano queste policy "pubbliche".

  • aws:SourceArn

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:SourceOwner

  • aws:SourceAccount

  • s3:x-amz-server-side-encryption-aws-kms-key-id

  • aws:userid, al di fuori del modello "AROLEID:*"

  • s3:DataAccessPointArn

    Nota

    Se utilizzato in una policy di bucket, questo valore può contenere un carattere jolly per il nome dell'access point senza rendere pubblica la policy, purché l'ID account sia corretto. Ad esempio, consentendo l'accesso a arn:aws:s3:us-west-2:123456789012:accesspoint/* si consente l'accesso a qualsiasi access point associato all'account 123456789012 nella regione us-west-2, senza rendere pubblica la policy di bucket. Tieni presente che questo comportamento è diverso per la policy di access point. Per ulteriori informazioni, consulta Access point.

  • s3:DataAccessPointAccount

Per ulteriori informazioni sulle policy del bucket, consulta Policy di bucket e policy utente.

Esempio : policy di bucket pubbliche

In queste regole le policy di esempio seguenti sono considerate pubbliche.

{ "Principal": { "Federated": "graph.facebook.com" }, "Resource": "*", "Action": "s3:PutObject", "Effect": "Allow" }
{ "Principal": "*", "Resource": "*", "Action": "s3:PutObject", "Effect": "Allow" }
{ "Principal": "*", "Resource": "*", "Action": "s3:PutObject", "Effect": "Allow", "Condition": { "StringLike": {"aws:SourceVpc": "vpc-*"}} }

Queste policy possono essere modificate in non pubbliche includendo una delle chiavi di condizione elencate in precedenza, usando un valore fisso. Ad esempio, l'ultima policy indicata sopra può essere modificata in non pubblica impostando aws:SourceVpc su un valore fisso, come mostrato di seguito.

{ "Principal": "*", "Resource": "*", "Action": "s3:PutObject", "Effect": "Allow", "Condition": {"StringEquals": {"aws:SourceVpc": "vpc-91237329"}} }

Esempio

Questo esempio mostra in che modo Amazon S3 valuta una policy del bucket che contiene concessioni di accesso sia pubblico sia non pubblico.

Supponiamo che un bucket sia associato a una policy che concede l'accesso a un set di entità principali fisse. In base alle regole descritte in precedenza, questa policy non è pubblica. Di conseguenza, se abiliti l'impostazione RestrictPublicBuckets, la policy continua a essere valida come indicato, perché RestrictPublicBuckets si applica solo ai bucket associati a policy pubbliche. Tuttavia, se aggiungi un'istruzione pubblica alla policy, RestrictPublicBuckets ha effetto sul bucket. Consente soltanto alle entità principali del servizio AWS e agli utenti autorizzati dell'account del proprietario del bucket di accedere al bucket.

Ad esempio, supponiamo che un bucket di proprietà di "Account-1" sia associato a una policy che contiene gli elementi seguenti:

  1. Un'istruzione che concede l'accesso ad AWS CloudTrail (che è un'entità principale del servizio AWS)

  2. Un'istruzione che concede l'accesso all'account "Account-2"

  3. Un'istruzione che concede l'accesso al pubblico, ad esempio specificando "Principal": "*" senza Condition limitante

Questa policy viene qualificata come pubblica a causa della terza istruzione. Con questa policy applicata e l'impostazione RestrictPublicBuckets abilitata, Amazon S3 permette l'accesso solo da parte di CloudTrail. Anche se l'istruzione 2 non è pubblica, Amazon S3 disabilita l'accesso da parte di "Account-2". Il motivo è che l'istruzione 3 rende pubblica l'intera policy, quindi viene applicata l'impostazione RestrictPublicBuckets. Di conseguenza, Amazon S3 disabilita l'accesso multiaccount, anche se la policy delega l'accesso a un account specifico, ovvero "Account-2". Se tuttavia rimuovi l'istruzione 3 dalla policy, questa non si qualifica più come pubblica e l'impostazione RestrictPublicBuckets non viene più applicata. Di conseguenza, "Account-2" riottiene l'accesso al bucket, anche se lasci abilitata l'impostazione RestrictPublicBuckets.

Access point

Amazon S3 valuta le impostazioni di blocco dell'accesso pubblico in modo leggermente diverso per gli access point rispetto ai bucket. Le regole applicate da Amazon S3 per determinare quando una policy di un access point è pubblica sono generalmente le stesse per gli access point e per i bucket, ad eccezione delle seguenti situazioni:

  • Un access point con un'origine di rete VPC è sempre considerato non pubblico, indipendentemente dal contenuto della policy di access point.

  • Una policy di access point che concede l'accesso a un set di access point utilizzando s3:DataAccessPointArn è considerata pubblica. Tieni presente che questo comportamento è diverso rispetto alle policy di bucket. Ad esempio, una policy di bucket che concede l'accesso ai valori di s3:DataAccessPointArn che corrispondono a arn:aws:s3:us-west-2:123456789012:accesspoint/* è considerata pubblica. Tuttavia, la stessa istruzione in una policy di access point renderebbe pubblico l'access point.

Utilizzo di Access Analyzer per S3 per esaminare i bucket pubblici

È possibile utilizzare Access Analyzer per S3 per esaminare i bucket con liste ACL del bucket, policy del bucket o policy dell'access point che concedono l'accesso pubblico. Access Analyzer per S3 ti invia avvisi sui bucket configurati per consentire l'accesso a chiunque su Internet o ad altri Account AWS, inclusi gli Account AWS esterni all'organizzazione. Per ogni bucket pubblico o condiviso, vengono visualizzati risultati che riportano l'origine e il livello di accesso pubblico o condiviso.

Con le informazioni presenti nei risultati puoi intraprendere azioni correttive immediate e precise. In Access Analyzer per S3 è possibile bloccare tutti gli accessi pubblici a un bucket con un solo clic. Inoltre, puoi eseguire il drill-down nelle impostazioni relative alle autorizzazioni a livello di bucket per configurare i livelli di accesso granulari. Per casi d'uso specifici e verificati che richiedono l'accesso pubblico o condiviso, puoi confermare e registrare l'intenzione del bucket di rimanere pubblico o condiviso archiviando i risultati per il bucket.

In rari casi, Access Analyzer per S3 può non segnalare risultati per un bucket che la valutazione del blocco dell'accesso pubblico di Amazon S3 segnala come pubblico. Ciò accade perché il blocco dell'accesso pubblico di Amazon S3 esamina le policy per le operazioni correnti ed eventuali operazioni potenziali che potrebbero venire aggiunte in futuro, facendo sì che un bucket diventi pubblico. D'altra parte, Access Analyzer per S3 analizza solo le operazioni correnti specificate per il servizio Amazon S3 nella valutazione dello stato dell'accesso.

Per ulteriori informazioni su Access Analyzer per S3, consulta Revisione dell'accesso al bucket tramite Access Analyzer per S3.

Autorizzazioni

Per utilizzare le caratteristiche di blocco dell'accesso pubblico di Amazon S3, sono necessarie le autorizzazioni seguenti.

Operazione Autorizzazioni richieste
Operazione GET per lo stato della policy del bucket s3:GetBucketPolicyStatus
Operazione GET per le impostazioni di blocco dell'accesso pubblico del bucket s3:GetBucketPublicAccessBlock
Operazione PUT per le impostazioni di blocco dell'accesso pubblico del bucket s3:PutBucketPublicAccessBlock
Operazione DELETE per le impostazioni di blocco dell'accesso pubblico del bucket s3:PutBucketPublicAccessBlock
Operazione GET per le impostazioni di blocco dell'accesso pubblico dell'account s3:GetAccountPublicAccessBlock
Operazione PUT per le impostazioni di blocco dell'accesso pubblico dell'account s3:PutAccountPublicAccessBlock
Operazione DELETE per le impostazioni di blocco dell'accesso pubblico dell'account s3:PutAccountPublicAccessBlock
Operazione PUT per le impostazioni di blocco dell'accesso pubblico dell'access point s3:CreateAccessPoint
Nota

Per le operazioni DELETE sono necessarie le stesse autorizzazioni necessarie per le operazioni PUT. Non esistono autorizzazioni separate per le operazioni DELETE.

Configurazione del blocco dell'accesso pubblico

Per ulteriori informazioni sulla configurazione del blocco dell'accesso pubblico per l'Account AWS e i bucket Amazon S3, consulta i seguenti argomenti.