ACCT.08 — 阻止公共訪問私有 S3 存儲桶 - AWS規範指導

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

ACCT.08 — 阻止公共訪問私有 S3 存儲桶

默認情況下,只有AWS賬户和 IAM 委託人(如果使用)具有讀取和寫入由該委託人創建的 Amazon S3 存儲桶的權限。通過使用基於身份的策略授予其他 IAM 委託人的訪問權限,並且可以使用存儲桶策略強制執行訪問條件。您可以創建存儲桶策略,以便向一般公眾授予對存儲桶的訪問權限,公有儲存桶

用户可能會錯誤配置存儲桶策略並無意中授予公共訪問權限。您可以通過啟用封鎖公有存取權限設置。如果您沒有公用 S3 存儲桶的當前或將 future 的使用案例,請在AWS帳户級別。此設置阻止允許公共訪問的策略。

如需保護儲存貯體的 S3 儲存貯體 CloudTrail 日誌檔案

AWS Trusted Advisor為允許對公眾進行列表或讀取訪問的 S3 存儲桶生成黃色查找結果,併為允許公共上傳或刪除的存儲桶生成紅色查找結果。作為基準,請遵循控件ACCT.12 — 通過使用Trusted Advisor來識別並更正錯誤配置的存儲桶。Amazon S3 主控台中也會指示公開存取的 S3 儲存貯體。