ACCT.08 – 防止公開存取私有 S3 儲存貯體

依預設，只有 AWS 帳戶 和 IAM 主體的根使用者 (如果使用) 具有讀取和寫入該主體建立的 Amazon S3 儲存貯體的許可。透過使用身分型政策向其他 IAM 主體授予存取權，並且可以使用儲存貯體政策強制執行存取條件。您可以建立儲存貯體政策，以將一般公開存取權授予儲存貯體 (公有儲存貯體)。

依預設，在 2023 年 4 月 28 日或之後建立的儲存貯體已啟用封鎖公開存取設定。對於在此日期之前建立的儲存貯體，使用者可能會錯誤設定儲存貯體政策並意外向公眾授予存取權。您可以透過為每個儲存貯體啟用封鎖公開存取設定來防止此錯誤組態。如果您目前或 future 沒有公用 S3 儲存貯體的使用案例，請在 AWS 帳戶 層級啟用此設定。此設定可阻止允許公開存取的政策。

防止公開存取 S3 儲存貯體

• 為 S3 儲存貯體設定封鎖公開存取設定 (Amazon S3 文件)。

AWS Trusted Advisor 為 S3 儲存貯體產生黃色發現項目，允許對公眾進行清單或讀取存取，並為允許公開上傳或刪除的值區產生紅色發現項目。作為基準，遵循控制 ACCT.12 – 使用 Trusted Advisor監控並解決高風險問題 以識別並更正錯誤設定的儲存貯體。Amazon S3 主控台中也會指示可公開存取的 S3 儲存貯體。