Revisar o acesso de bucket usando o Access Analyzer for S3 - Amazon Simple Storage Service

Revisar o acesso de bucket usando o Access Analyzer for S3

O Access Analyzer para S3 alerta você sobre buckets do S3 que são configurados para permitir o acesso a qualquer pessoa na Internet ou a outras Contas da AWS, incluindo Contas da AWS fora da organização. Para cada bucket público ou compartilhado, você recebe descobertas sobre a origem e o nível de acesso público ou compartilhado. Por exemplo, o analisador de acesso para S3 pode mostrar que um bucket tem acesso de leitura ou gravação fornecido por meio de uma lista de controle de acesso (ACL) de bucket, uma política de bucket, uma política de ponto de acesso multirregional ou uma política de ponto de acesso. Com esse conhecimento, você pode tomar medidas corretivas imediatas e precisas para restaurar o acesso ao bucket da forma desejada.

Ao revisar um bucket em risco no Analisador de acesso para S3, você pode bloquear todo o acesso público ao bucket com um único clique. Recomendamos que você bloqueie todo o acesso aos buckets, a menos que exija acesso público para dar suporte a um caso de uso específico. Antes de bloquear todo o acesso público, certifique-se de que os aplicativos continuarão funcionando corretamente sem acesso público. Para obter mais informações, consulte Bloquear o acesso público ao armazenamento do Amazon S3.

Você também pode detalhar as configurações de permissão no nível do bucket para definir níveis granulares de acesso. Para casos de uso específicos e verificados que exigem acesso público, como hospedagem estática de sites, downloads públicos ou compartilhamento entre contas, você pode reconhecer e registrar sua intenção de que o bucket permaneça público ou compartilhado arquivando as descobertas do bucket. Você pode acessar novamente e modificar essas configurações de bucket a qualquer momento. Você também pode fazer download das descobertas como um relatório CSV para fins de auditoria.

O Analisador de acesso para S3 está disponível sem custo adicional no console do Amazon S3. O Access Analyzer for S3 usa tecnologia do AWS Identity and Access Management (IAM) Access Analyzer. Para usar o Analisador de acesso para S3 no console do Amazon S3, visite o console do IAM e habilite o IAM Analisador de acesso por região.

Para obter mais informações sobre o Analisador de acesso do IAM, consulte O que é o Analisador de acesso? no Guia do usuário do IAM. Para obter mais informações sobre o Analisador de acesso para S3, consulte as seções a seguir.

Importante
  • O Analisador de acesso para S3 requer um analisador de nível de conta. Para usar o Analisador de acesso para S3, acesse Analisador de acesso do IAM e crie um analisador que tenha uma conta como a zona de confiança. Para obter mais informações, consulte Habilitar o Analisador de acesso no Guia do usuário do IAM.

  • Quando uma política de bucket ou a ACL do bucket é adicionada ou modificada, o Analisador de acesso gera e atualiza descobertas com base na alteração dentro de 30 minutos. As descobertas relacionadas às configurações do Bloqueio de acesso público na conta podem não ser geradas ou atualizadas por até 6 horas após a alteração das configurações. As descobertas relacionadas a pontos de acesso multirregionais podem não ser geradas ou atualizadas até seis horas após o ponto de acesso multirregional ser criado, excluído ou você alterar sua política.

Quais informações o Analisador de acesso para S3 fornece?

O Access Analyzer para S3 fornece descobertas para buckets que podem ser acessados fora da sua Conta da AWS. Os buckets listados em Buckets with public access (Buckets com acesso público) podem ser acessados por qualquer pessoa na internet. Se o Analisador de acesso para S3 identificar buckets públicos, você também verá um aviso na parte superior da página que mostra o número de buckets públicos na região. Os buckets listados em Buckets with access from other Contas da AWS — including third-party Contas da AWS (Buckets com acesso de outras Contas da AWS, inclusive de Contas da AWS de terceiros) são compartilhados condicionalmente com outras Contas da AWS, inclusive com contas fora de sua organização.

Para cada bucket, o Analisador de acesso para S3 fornece as seguintes informações:

  • Bucket name

  • Descoberto pelo Analisador de acesso – Quando o Analisador de acesso para S3 descobriu o acesso a bucket público ou compartilhado.

  • Compartilhado por: como o bucket é compartilhado, por meio de uma política de bucket, uma ACL de bucket ou uma política de ponto de acesso multirregional ou uma política de ponto de acesso. Pontos de acesso multirregionais são refletidos em pontos de acesso. Um bucket pode ser compartilhado por meio de políticas e ACLs. Se você quiser descobrir e analisar a origem do acesso ao bucket, poderá usar as informações nesta coluna como um ponto de partida para tomar medidas corretivas imediatas e precisas.

  • Status – O status da descoberta do bucket. O Analisador de acesso para S3 exibe descobertas para todos os buckets públicos e compartilhados.

    • Ativa – a descoberta não foi analisada.

    • Arquivada – a descoberta foi analisada e confirmada conforme pretendido.

    • All (Todas): todas as descobertas de buckets que são públicos ou compartilhados com outras Contas da AWS, incluindo Contas da AWS fora da sua organização.

  • Nível de acesso — permissões de acesso concedidas para o bucket:

    • Lista – lista de recursos.

    • Leitura – ler, mas não editar o conteúdo e os atributos do recurso.

    • Gravação – criar, excluir ou modificar recursos.

    • Permissões – conceder ou modificar permissões de recursos.

    • Atribuição de tags – atualizar as tags associadas ao recurso.

Habilitar o Analisador de acesso para S3

Para usar o Analisador de acesso para S3, você deve concluir as seguintes etapas de pré-requisito.

  1. Conceda as permissões necessárias aos usuários.

    Para obter mais informações, consulte Permissões necessárias para usar o Analisador de acesso no Guia do usuário do IAM.

  2. Acesse o IAM para criar um analisador de nível de conta para cada região onde você deseja usar o Analisador de acesso.

    O Analisador de acesso para S3 requer um analisador de nível de conta. Para usar o Analisador de acesso para S3, você deve criar um analisador que tenha uma conta como a zona de confiança. Para obter mais informações, consulte Habilitar o Analisador de acesso no Guia do usuário do IAM.

Bloquear todo o acesso público

Se você quiser bloquear todo o acesso a um bucket com um único clique, use o botão Block all public access (Bloquear todos os acessos públicos) no Analisador de acesso para S3. Quando você bloquear todo o acesso público a um bucket, nenhum acesso público será concedido. Recomendamos que você bloqueie todo o acesso público aos buckets, a menos que exija acesso público para dar suporte a um caso de uso específico e verificado. Antes de bloquear todo o acesso público, certifique-se de que os aplicativos continuarão funcionando corretamente sem acesso público.

Se não quiser bloquear todo o acesso público ao bucket, você pode editar as configurações de bloqueio de acesso público no console do Amazon S3 para configurar níveis granulares de acesso aos buckets. Para obter mais informações, consulte Bloquear o acesso público ao armazenamento do Amazon S3.

Em eventos raros, o Analisador de acesso para S3 pode relatar nenhuma descoberta para um bucket que uma análise de bloqueio de acesso público do Amazon S3 relata como público. Isso acontece porque o bloqueio de acesso público do Amazon S3 analisa as políticas de ações atuais e quaisquer ações potenciais que possam ser adicionadas no futuro, fazendo com que um bucket se torne público. Por outro lado, o Analisador de acesso para S3 analisa somente as ações atuais especificadas para o serviço do Amazon S3 na avaliação do status do acesso.

Para bloquear todo o acesso público a um bucket usando o Analisador de acesso para S3

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação à esquerda, em Dashboards (Painéis), escolha Access Analyzer for S3.

  3. No Analisador de acesso para S3, escolha um bucket.

  4. Selecione Block all public access (Bloquear todo o acesso público).

  5. Para confirmar sua intenção de bloquear todo o acesso público ao bucket, em Block all public access (bucket settings) (Bloquear todo o acesso público [configurações de bucket]), digite confirm.

    O Amazon S3 bloqueia todo o acesso público ao bucket. O status da descoberta do bucket é atualizado para resolved (resolvido) e o bucket desaparece da listagem do Analisador de acesso para S3. Se você quiser revisar os buckets resolvidos, abra o IAM Analisador de acesso no console do IAM.

Revisar e alterar o acesso ao bucket

Se você não pretendia conceder acesso às contas públicas ou outras Contas da AWS, incluindo contas fora da organização, você pode modificar a ACL de bucket, a política de bucket ou a política de ponto de acesso multirregional para remover o acesso ao bucket. A coluna Shared through (Compartilhado por) mostra todas as origens de acesso ao bucket: política de bucket, ACL de bucket e/ou política de ponto de acesso. Pontos de acesso multirregionais são refletidos em pontos de acesso.

Para revisar e alterar uma política de bucket, uma ACL de bucket, um ponto de acesso multirregional ou uma política de ponto de acesso

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação, escolha Access Analyzer for S3 (Analisador de acesso para S3).

  3. Para ver se o acesso público ou o acesso compartilhado é concedido por meio de uma política de bucket, uma ACL de bucket ou uma política de ponto de acesso multirregional, verifique a coluna Shared through (Compartilhado por).

  4. Em Buckets, escolha o nome do bucket com a política de bucket, a ACL de bucket ou a política de ponto de acesso multirregional que deseja alterar ou revisar.

  5. Se você quiser alterar ou exibir uma ACL de bucket:

    1. Escolha Permissions (Permissões).

    2. Escolha Access Control List.

    3. Revise a ACL de bucket e faça as alterações conforme necessário.

      Para obter mais informações, consulte Configurar ACLs.

  6. Se você quiser alterar ou revisar uma política de bucket:

    1. Escolha Permissions (Permissões).

    2. Escolha Bucket Policy.

    3. Revise ou altere a política de bucket conforme necessário.

      Para obter mais informações, consulte Adicionar uma política de bucket usando o console do Amazon S3.

  7. Se você quiser alterar ou exibir uma política de ponto de acesso multirregional:

    1. Escolha Multi-Region Access Point (Ponto de acesso multirregional).

    2. Escolha o nome do ponto de acesso multirregional.

    3. Revise ou altere a política de pontos de acesso multirregionais, conforme necessário.

      Para obter mais informações, consulte Permissões do ponto de acesso multirregional.

  8. Se você quiser revisar ou alterar uma política de ponto de acesso:

    1. Escolha access points (pontos de acesso).

    2. Escolha o nome do ponto de acesso.

    3. Revise ou altere o acesso conforme necessário.

      Para obter mais informações, consulte Como usar pontos de acesso do Amazon S3 com o console do Amazon S3.

    Se você editar ou remover uma ACL de bucket, uma política de bucket ou uma política de ponto de acesso para remover o acesso público ou compartilhado, o status das descobertas do bucket será atualizado para resolved (resolvido). As descobertas de bucket resolvidas desaparecem da lista do Analisador de acesso para S3, mas você pode visualizá-las no Analisador de acesso do IAM.

Arquivar descobertas de bucket

Se um bucket conceder acesso a contas públicas ou outras Contas da AWS, inclusive contas fora da organização, para comportar um caso de uso específico (por exemplo, um site estático, downloads públicos ou compartilhamento entre contas), você poderá arquivar a descoberta do bucket. Ao arquivar descobertas de bucket, você reconhece e registra sua intenção de que o bucket permaneça público ou compartilhado. As descobertas de bucket arquivadas permanecem na listagem do Analisador de acesso para S3 para que você sempre saiba quais buckets são públicos ou compartilhados.

Como arquivar descobertas de bucket no Analisador de acesso para S3

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação, escolha Access Analyzer for S3 (Analisador de acesso para S3).

  3. No Analisador de acesso para S3, escolha um bucket ativo.

  4. Para confirmar sua intenção de que esse bucket seja acessado pelas contas públicas ou outras Contas da AWS, inclusive contas fora da organização, escolha Archive (Arquivar).

  5. Digite confirm e escolha Archive (Arquivar).

Ativar uma descoberta de bucket arquivada

Depois de arquivar descobertas, você sempre poderá revisitá-las e alterar o status novamente para ativo, indicando que o bucket requer outra análise.

Como ativar uma descoberta de bucket arquivado no Analisador de acesso para S3

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação, escolha Access Analyzer for S3 (Analisador de acesso para S3).

  3. Escolha as descobertas do bucket arquivadas.

  4. Escolha Mark as active (Marcar como ativo).

Visualizar detalhes de descobertas

Se você precisar ver mais informações sobre um bucket, poderá abrir os detalhes de descobertas de bucket no Analisador de acesso do IAM no console do IAM.

Para exibir detalhes de busca no Analisador de acesso para S3

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação, escolha Access Analyzer for S3 (Analisador de acesso para S3).

  3. No Analisador de acesso para S3, escolha um bucket.

  4. Escolha View details (Exibir detalhes).

    Os detalhes de descoberta são abertos no Analisador de acesso do IAM no console do IAM.

Fazer download de um relatório do Analisador de acesso para S3

Você pode fazer download das descobertas de bucket como um relatório CSV que pode ser usado para fins de auditoria. O relatório inclui as mesmas informações que você vê no Analisador de acesso para S3 no console do Amazon S3.

Como fazer download de um relatório

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação à esquerda, escolha Access Analyzer for S3 (Analisador de acesso para S3).

  3. No filtro Região, escolha a região.

    Atualizações do Analisador de acesso para S3 mostram buckets para a região escolhida.

  4. Escolha Download report (Fazer download do relatório).

    Um relatório CSV é gerado e salvo no computador.