ACCT.08 防止公開存取私有 S3 儲存貯體

根據預設，如果使用 AWS 帳戶 和 IAM 主體的根使用者，則擁有讀取和寫入該主體建立之 Amazon S3 儲存貯體的許可。透過使用身分型政策向其他 IAM 主體授予存取權，並且可以使用儲存貯體政策強制執行存取條件。您可以建立儲存貯體政策，以將一般公開存取權授予儲存貯體 (公有儲存貯體)。

依預設，在 2023 年 4 月 28 日或之後建立的儲存貯體已啟用封鎖公開存取設定。對於在此日期之前建立的儲存貯體，使用者可能會錯誤設定儲存貯體政策並意外向公眾授予存取權。您可以透過為每個儲存貯體啟用封鎖公開存取設定來防止此錯誤組態。如果您沒有公有 S3 儲存貯體的目前或未來使用案例，請在 AWS 帳戶 層級啟用此設定。此設定可阻止允許公開存取的政策。

防止公開存取 S3 儲存貯體

• 為 S3 儲存貯體設定封鎖公開存取設定 (Amazon S3 文件)。

AWS Trusted Advisor 會為允許清單或讀取公開的 S3 儲存貯體產生黃色問題清單，並為允許公開上傳或刪除的儲存貯體產生紅色問題清單。作為基準，遵循控制 ACCT.12 使用 監控並解決高風險問題 Trusted Advisor 以識別並更正錯誤設定的儲存貯體。Amazon S3 主控台中也會指示可公開存取的 S3 儲存貯體。