ACCT.08 - 防止公开访问私有 S3 存储桶

默认情况下，只有的根用户 AWS 账户 和 IAM 委托人（如果使用）才有权读取和写入该委托人创建的 Amazon S3 存储桶。使用基于身份的策略向其他 IAM 主体授予访问权限，并且可以使用存储桶策略强制执行访问条件。您可以创建存储桶策略，授予对存储桶（公有存储桶）的公开访问权限。

在 2023 年 4 月 28 日当天或之后创建的存储桶默认启用阻止公开访问设置。对于在此日期之前创建的存储桶，用户可能会错误配置存储桶策略，无意中将访问权限授予公众。您可以为每个存储桶启用阻止公开访问设置来防止这种配置错误。如果您没有公有 S3 存储桶的当前或将来的用例，请在 AWS 账户 级别启用此设置。此设置会阻止允许公开访问的策略。

若要阻止公开访问 S3 存储桶

• 为 S3 存储桶配置阻止公开访问设置（Amazon S3 文档）。

AWS Trusted Advisor 为允许公众进行列表或读取访问的 S3 存储桶生成黄色查找结果，并对允许公开上传或删除的存储桶生成红色查找结果。作为基线，遵循控制 ACCT.12 - 使用 Trusted Advisor监控和解决高风险问题 来识别和纠正配置错误的存储桶。Amazon S3 控制台中还显示了可公开访问的 S3 存储桶。