Analisar o acesso externo com um resumo de acesso externo Quais informações o analisador de acesso do IAM para S3 fornece?Bloquear todo o acesso público Revisar e alterar o acesso ao bucket Arquivar descobertas de bucket Ativar uma descoberta de bucket arquivada Visualizar detalhes de descobertas Baixar um relatório do IAM Access Analyzer para S3

Revisar o acesso de bucket usando o IAM Access Analyzer para S3

O analisador de acesso do IAM para S3 apresenta descobertas de acesso externo para os buckets de uso geral do S3 que estão configurados para permitir acesso a qualquer pessoa na internet (pública) ou a outras Contas da AWS, inclusive às Contas da AWS fora da sua organização. Para cada bucket compartilhado publicamente ou com outras Contas da AWS, você recebe descobertas sobre a origem e o nível do acesso compartilhado. Por exemplo, o IAM Access Analyzer para S3 pode mostrar que um bucket tem acesso de leitura ou gravação fornecido por meio de uma lista de controle de acesso (ACL) de bucket, uma política de bucket, uma política de ponto de acesso multirregional ou uma política de ponto de acesso. Com essas descobertas, você pode tomar medidas corretivas imediatas e precisas para restaurar o acesso ao bucket da forma desejada.

O console do Amazon S3 apresenta um resumo de acesso externo ao lado da sua lista de buckets de uso geral. No resumo, você pode clicar nas descobertas ativas de cada Região da AWS para ver os detalhes da descoberta na página do analisador de acesso do IAM para S3. As descobertas no resumo de acesso externo são atualizadas automaticamente a cada 24 horas.

Ao analisar um bucket que permite acesso público, na página do analisador de acesso do IAM para S3, é possível bloquear todo acesso público ao bucket com um único clique. Recomendamos que você bloqueie todo o acesso público aos buckets, a menos que você necessite de acesso público para atender a um caso de uso específico. Antes de bloquear todo o acesso público, certifique-se de que os aplicativos continuarão funcionando corretamente sem acesso público. Para obter mais informações, consulte Bloquear o acesso público ao armazenamento do Amazon S3.

Você também pode detalhar as configurações de permissão no nível do bucket para definir níveis granulares de acesso. Para casos de uso específicos e verificados que exigem acesso público, como hospedagem estática de sites, downloads públicos ou compartilhamento entre contas, você pode reconhecer e registrar sua intenção de que o bucket permaneça público ou compartilhado arquivando as descobertas do bucket. Você pode acessar novamente e modificar essas configurações de bucket a qualquer momento. Você também pode fazer download das descobertas como um relatório CSV para fins de auditoria.

O IAM Access Analyzer para S3 está disponível sem custo adicional no console do Amazon S3. O IAM Access Analyzer para S3 usa tecnologia do AWS Identity and Access Management (IAM) Access Analyzer. Para usar o analisador de acesso do IAM para S3 no console do Amazon S3, é necessário acessar o console do IAM e criar um analisador de acesso externo por região.

Para obter mais informações sobre o IAM Access Analyzer, consulte O que é o IAM Access Analyzer? no Guia do usuário do IAM. Para obter mais informações sobre o IAM Access Analyzer para S3, consulte as seções a seguir.

Importante

O analisador de acesso do IAM para S3 requer um analisador em nível de conta em cada Região da AWS em que você tenha buckets. Para usar o IAM Access Analyzer para S3, é necessário acessar o IAM Access Analyzer e criar um analisador que tenha uma conta como a zona de confiança. Para obter mais informações, consulte Habilitar o IAM Access Analyzer no Guia do usuário do IAM.
O IAM Access Analyzer para S3 não analisa a política de ponto de acesso vinculada a pontos de acesso entre contas. Esse comportamento ocorre porque o ponto de acesso e sua política estão fora da zona de confiança, ou seja, fora da conta. Os buckets que delegam acesso a um ponto de acesso entre contas estão listados em Buckets with public access (Buckets com acesso público) caso você não tenha aplicado a configuração de bloqueio de acesso público RestrictPublicBuckets ao bucket ou à conta. Quando você aplica a configuração de bloqueio de acesso público RestrictPublicBuckets, o bucket é relatado em Buckets com acesso de outras Contas da AWS, inclusive Contas da AWS de terceiros.
Quando uma política de bucket ou a ACL do bucket é adicionada ou modificada, o IAM Access Analyzer gera e atualiza descobertas com base na alteração em até 30 minutos. As descobertas relacionadas às configurações de bloqueio de acesso público na conta podem não ser geradas nem atualizadas por até 6 horas após a alteração das configurações. As descobertas relacionadas a pontos de acesso multirregionais podem não ser geradas nem atualizadas até seis horas após o ponto de acesso multirregional ser criado, excluído ou você alterar sua política.

Tópicos

Analisar um resumo global das políticas que concedem acesso externo aos buckets
Quais informações o analisador de acesso do IAM para S3 fornece?
Bloquear todo o acesso público
Revisar e alterar o acesso ao bucket
Arquivar descobertas de bucket
Ativar uma descoberta de bucket arquivada
Visualizar detalhes de descobertas
Baixar um relatório do IAM Access Analyzer para S3

Analisar um resumo global das políticas que concedem acesso externo aos buckets

Você pode usar o resumo de acesso externo para visualizar um resumo global das políticas que concedem acesso externo aos buckets em sua Conta da AWS diretamente do console do S3. Esse resumo ajuda você a identificar buckets de uso geral do Amazon S3 em qualquer Região da AWS que permita acesso público ou acesso de outras Contas da AWS sem precisar inspecionar políticas em cada Região da AWS individualmente.

Habilitar o resumo de acesso externo e o analisador de acesso do IAM para S3

Para usar o resumo de acesso externo e o analisador de acesso do IAM para S3, é necessário concluir as etapas de pré-requisito a seguir.

Conceda as permissões necessárias aos usuários. Para obter mais informações, consulte Permissões necessárias para usar o IAM Access Analyzer no Guia do usuário do IAM.
Acesse o IAM para criar um analisador de nível de conta para cada região onde você deseja usar o IAM Access Analyzer.

É possível criar um analisador que tenha uma conta como zona de confiança no console do IAM ou usando a AWS CLI ou os SDKs da AWS. Para obter mais informações, consulte Habilitar o IAM Access Analyzer no Guia do usuário do IAM.

Visualizar buckets que permitem acesso externo

O resumo de acesso externo exibe descobertas e erros de acesso externo fornecidos pelo analisador de acesso do IAM para S3 para buckets de uso geral. As descobertas arquivadas e as descobertas de acesso não utilizado não estão incluídas no resumo, mas podem ser visualizadas no console do IAM ou no analisador de acesso do IAM para S3. Para ter mais informações, consulte Visualizar o painel de descobertas do IAM Access Analyzer no “Guia do Usuário do IAM”.

nota

O resumo de acesso externo inclui apenas descobertas de analisadores de acesso externo para cada um de suas Contas da AWS, não para sua organização da AWS.

Abra o console do Amazon S3, em https://console.aws.amazon.com/s3/.
No painel de navegação à esquerda, escolha Buckets de uso geral.
Expanda o resumo de acesso externo. O console exibe descobertas ativas de acesso público e entre contas.

nota
Se o S3 encontrar algum problema ao carregar os detalhes do bucket, atualize a lista de buckets de uso geral ou visualize as descobertas no analisador de acesso do IAM para S3. Para ter mais informações, consulte Revisar o acesso de bucket usando o IAM Access Analyzer para S3.
Para visualizar uma lista de descobertas ou erros referentes a uma Região da AWS, escolha o link para a região em questão. A página do analisador de acesso do IAM para S3 exibe nomes de buckets que podem ser acessados publicamente ou por outras Contas da AWS. Para ter mais informações, consulte Quais informações o analisador de acesso do IAM para S3 fornece?.

Atualizar controles de acesso para buckets que permitem acesso externo

Abra o console do Amazon S3, em https://console.aws.amazon.com/s3/.
No painel de navegação à esquerda, escolha Buckets de uso geral.
Expanda o resumo de acesso externo. O console exibe descobertas ativas para buckets que podem ser acessados publicamente ou por outras Contas da AWS.

nota
Se o S3 encontrar algum problema ao carregar os detalhes do bucket, atualize a lista de buckets de uso geral ou visualize as descobertas no analisador de acesso do IAM para S3. Para ter mais informações, consulte Revisar o acesso de bucket usando o IAM Access Analyzer para S3.
Para visualizar uma lista de descobertas ou erros referentes a uma Região da AWS, escolha o link para a região em questão. O analisador de acesso do IAM para S3 exibe descobertas ativas para buckets que podem ser acessados publicamente ou por outras Contas da AWS.

nota
As descobertas no resumo de acesso externo são atualizadas automaticamente a cada 24 horas.
Para bloquear todo acesso público a um bucket, consulte Bloquear todo o acesso público. Para alterar o acesso ao bucket, consulte Revisar e alterar o acesso ao bucket.

Quais informações o analisador de acesso do IAM para S3 fornece?

O IAM Access Analyzer para S3 fornece descobertas para buckets que podem ser acessados fora da sua Conta da AWS. Os buckets listados em Descobertas de acesso público podem ser acessados por qualquer pessoa na internet. Se o IAM Access Analyzer para S3 identificar buckets públicos, você também verá um aviso na parte superior da página que mostra o número de buckets públicos na região. Os buckets listados em Descobertas de acesso entre contas são compartilhados condicionalmente com outras Contas da AWS, inclusive contas fora da sua organização.

Para cada bucket, o IAM Access Analyzer para S3 fornece as seguintes informações:

Nome do bucket
Compartilhado por: como o bucket é compartilhado, por meio de uma política de bucket, uma ACL de bucket ou uma política de ponto de acesso multirregional ou uma política de ponto de acesso. Pontos de acesso multirregionais e pontos de acesso entre contas são refletidos em pontos de acesso. Um bucket pode ser compartilhado por meio de políticas e ACLs. Se você quiser descobrir e analisar a origem do acesso ao bucket, poderá usar as informações nesta coluna como um ponto de partida para tomar medidas corretivas imediatas e precisas.
Status – O status da descoberta do bucket. O IAM Access Analyzer para S3 exibe descobertas para todos os buckets públicos e compartilhados.
- Ativa – a descoberta não foi analisada.
- Arquivada – a descoberta foi analisada e confirmada conforme pretendido.
- All (Todas): todas as descobertas de buckets que são públicos ou compartilhados com outras Contas da AWS, incluindo Contas da AWS fora da sua organização.
Nível de acesso — permissões de acesso concedidas para o bucket:
- Lista – lista de recursos.
- Leitura – ler, mas não editar o conteúdo e os atributos do recurso.
- Gravação – criar, excluir ou modificar recursos.
- Permissões – conceder ou modificar permissões de recursos.
- Atribuição de tags – atualizar as tags associadas ao recurso.
Entidade principal externa: a Conta da AWS externa à sua organização com acesso ao bucket.
Restrição da política de controle de recursos (RCP): a política de controle de recursos (RCP) que se aplica ao bucket, se apropriado. Para ter mais informações, consulte Políticas de controle de recursos (RCPs).

Bloquear todo o acesso público

Se você quiser bloquear todo o acesso a um bucket com um único clique, use o botão Bloquear todo o acesso público no IAM Access Analyzer para S3. Quando você bloquear todo o acesso público a um bucket, nenhum acesso público será concedido. Recomendamos que você bloqueie todo o acesso público aos buckets, a menos que exija acesso público para dar suporte a um caso de uso específico e verificado. Antes de bloquear todo o acesso público, certifique-se de que os aplicativos continuarão funcionando corretamente sem acesso público.

Se não quiser bloquear todo o acesso público ao bucket, você pode editar as configurações de bloqueio de acesso público no console do Amazon S3 para configurar níveis granulares de acesso aos buckets. Para ter mais informações, consulte Bloquear o acesso público ao armazenamento do Amazon S3.

Em casos raros, o analisador de acesso do IAM para S3 e a avaliação da funcionalidade Bloqueio de Acesso Público do Amazon S3 podem divergir sobre um bucket ser público ou não. Esse comportamento ocorre porque a funcionalidade Bloqueio de Acesso Público do Amazon S3 realiza a validação da existência de ações, além de avaliar o acesso público. Suponha que a política do bucket contenha uma instrução Action que permita o acesso público a uma ação que não é compatível com o Amazon S3 (por exemplo, s3:NotASupportedAction). Nesse caso, a funcionalidade Bloqueio de Acesso Público do Amazon S3 avalia o bucket como público porque tal instrução tem o potencial de tornar o bucket público se a ação se tornar compatível posteriormente. Nos casos em que a funcionalidade Bloqueio de Acesso Público do Amazon S3 e o analisador de acesso do IAM para S3 diferem em suas avaliações, recomendamos revisar a política do bucket e remover quaisquer ações incompatíveis.

Para bloquear todo o acesso público a um bucket usando o IAM Access Analyzer para S3

Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.
No painel de navegação à esquerda, em Dashboards (Painéis), escolha Access Analyzer for S3.
No IAM Access Analyzer para S3, escolha um bucket.
Selecione Block all public access (Bloquear todo o acesso público).
Para confirmar sua intenção de bloquear todo o acesso público ao bucket, em Block all public access (bucket settings) (Bloquear todo o acesso público [configurações de bucket]), digite confirm.

O Amazon S3 bloqueia todo o acesso público ao bucket. O status da descoberta do bucket é atualizado para resolvido e o bucket desaparece da listagem do IAM Access Analyzer para S3. Se você quiser revisar os buckets resolvidos, abra o IAM Access Analyzer no console do IAM.

Revisar e alterar o acesso ao bucket

Se você não pretendia conceder acesso às contas públicas ou outras Contas da AWS, incluindo contas fora da organização, você pode modificar a ACL de bucket, a política de bucket ou a política de ponto de acesso multirregional para remover o acesso ao bucket. A coluna Shared through (Compartilhado por) mostra todas as origens de acesso ao bucket: política de bucket, ACL de bucket e/ou política de ponto de acesso. Pontos de acesso multirregionais e pontos de acesso entre contas são refletidos em pontos de acesso.

Para revisar e alterar uma política de bucket, uma ACL de bucket, um ponto de acesso multirregional ou uma política de ponto de acesso

Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.
No painel de navegação, escolha Access Analyzer for S3 (Analisador de acesso para S3).
Para ver se o acesso público ou o acesso compartilhado é concedido por meio de uma política de bucket, uma ACL de bucket ou uma política de ponto de acesso multirregional, verifique a coluna Shared through (Compartilhado por).
Em Buckets, escolha o nome do bucket com a política de bucket, a ACL de bucket ou a política de ponto de acesso multirregional que deseja alterar ou revisar.
Se você quiser alterar ou exibir uma ACL de bucket:
1. Escolha Permissions (Permissões).
2. Escolha Access Control List.
3. Revise a ACL de bucket e faça as alterações conforme necessário.
  
  Para obter mais informações, consulte Configurar ACLs.
Se você quiser alterar ou revisar uma política de bucket:
1. Escolha Permissions (Permissões).
2. Escolha Bucket Policy.
3. Revise ou altere a política de bucket conforme necessário.
  
  Para obter mais informações, consulte Adicionar uma política de bucket usando o console do Amazon S3.
Se você quiser alterar ou exibir uma política de ponto de acesso multirregional:
1. Escolha Multi-Region Access Point (Ponto de acesso multirregional).
2. Escolha o nome do ponto de acesso multirregional.
3. Revise ou altere a política de pontos de acesso multirregionais, conforme necessário.
  
  Para obter mais informações, consulte Permissões.
Se você quiser revisar ou alterar uma política de ponto de acesso:
1. Escolha Pontos de acesso para buckets de uso geral ou Pontos de acesso para buckets de diretório.
2. Escolha o nome do ponto de acesso.
3. Revise ou altere o acesso conforme necessário.
  
  Para obter mais informações, consulte Gerenciar o recurso Pontos de Acesso Amazon S3 para buckets de uso geral.
Se você editar ou remover uma ACL de bucket, uma política de bucket ou uma política de ponto de acesso para remover o acesso público ou compartilhado, o status das descobertas do bucket será atualizado para resolved (resolvido). As descobertas de bucket resolvidas desaparecem da lista do IAM Access Analyzer para S3, mas é possível visualizá-las no IAM Access Analyzer.

Arquivar descobertas de bucket

Se um bucket conceder acesso a contas públicas ou outras Contas da AWS, inclusive contas fora da organização, para comportar um caso de uso específico (por exemplo, um site estático, downloads públicos ou compartilhamento entre contas), você poderá arquivar a descoberta do bucket. Ao arquivar descobertas de bucket, você reconhece e registra sua intenção de que o bucket permaneça público ou compartilhado. As descobertas de bucket arquivadas permanecem na listagem do IAM Access Analyzer para S3 para que você sempre saiba quais buckets são públicos ou compartilhados.

Como arquivar descobertas de bucket no IAM Access Analyzer para S3

Abra o console do Amazon S3, em https://console.aws.amazon.com/s3/.
No painel de navegação, escolha Analisador de acesso do IAM para S3.
No IAM Access Analyzer para S3, escolha um bucket ativo.
Para confirmar sua intenção de que esse bucket seja acessado pelas contas públicas ou outras Contas da AWS, inclusive contas fora da organização, escolha Archive (Arquivar).
Digite confirm e escolha Archive (Arquivar).

Ativar uma descoberta de bucket arquivada

Depois de arquivar descobertas, você sempre poderá revisitá-las e alterar o status novamente para ativo, indicando que o bucket requer outra análise.

Como ativar uma descoberta de bucket arquivado no IAM Access Analyzer para S3

Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.
No painel de navegação, escolha Access Analyzer for S3 (Analisador de acesso para S3).
Escolha as descobertas do bucket arquivadas.
Escolha Mark as active (Marcar como ativo).

Visualizar detalhes de descobertas

Se você precisar ver mais informações sobre uma descoberta, poderá abrir os detalhes das descobertas de bucket no analisador de acesso do IAM no console do IAM.

Para visualizar detalhes de descoberta no IAM Access Analyzer para S3

Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.
No painel de navegação, escolha Access Analyzer for S3 (Analisador de acesso para S3).
No IAM Access Analyzer para S3, escolha um bucket.
Escolha View details (Exibir detalhes).

Os detalhes de descobertas são abertos no IAM Access Analyzer no console do IAM.

Baixar um relatório do IAM Access Analyzer para S3

Você pode fazer download das descobertas de bucket como um relatório CSV que pode ser usado para fins de auditoria. O relatório inclui as mesmas informações que você vê no IAM Access Analyzer para S3 no console do Amazon S3.

Como fazer download de um relatório

Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.
No painel de navegação à esquerda, escolha Access Analyzer for S3 (Analisador de acesso para S3).
No filtro Região, escolha a região.

O IAM Access Analyzer para S3 é atualizado para mostrar buckets para a região escolhida.
Escolha Download report (Fazer download do relatório).

Um relatório CSV é gerado e salvo no computador.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Definir configurações de bucket e ponto de acesso

Verificar a propriedade do bucket