Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher
Die Amazon S3 S3-Funktion Block Public Access bietet Einstellungen für Access Points, Buckets und Konten und AWS Organizations unterstützt Sie bei der Verwaltung des öffentlichen Zugriffs auf Amazon S3 S3-Ressourcen. Standardmäßig erlauben neue Buckets, Zugriffspunkte und Objekte keinen öffentlichen Zugriff. Benutzer können jedoch Bucket-Richtlinien, Zugriffspunkt-Richtlinien oder Objektberechtigungen ändern, um öffentlichen Zugriff zu ermöglichen. S3 Block Public Access-Einstellungen überschreiben diese Richtlinien und Berechtigungen, damit Sie den öffentlichen Zugriff auf diese Ressourcen einschränken können.
Mit S3 Block Public Access können Unternehmensadministratoren, Kontoadministratoren und Bucket-Besitzer auf einfache Weise zentrale Kontrollen einrichten, um den öffentlichen Zugriff auf ihre Amazon S3 S3-Ressourcen einzuschränken, die unabhängig davon, wie die Ressourcen erstellt wurden, durchgesetzt werden.
Sie können die Einstellungen für den Block Public Access auf mehreren Ebenen verwalten: Organisationsebene (Nutzung AWS Organizations), Kontoebene sowie Bucket- und Zugriffspunktebene. Anweisungen zur Konfiguration von Public Block Access finden Sie unter Verwenden von Block Public Access.
Wenn Amazon S3 eine Anforderung zum Zugriff auf einen Bucket oder ein Objekt erhält, wird ermittelt, ob für den Bucket oder das Konto des Bucket-Eigentümers eine Block Public Access-Einstellung vorliegt. Wenn das Konto Teil einer AWS Organizations Sperrrichtlinie für öffentlichen Zugriff ist, sucht Amazon S3 auch nach Einstellungen auf Organisationsebene. Wenn die Anforderung über einen Zugriffspunkt einging, prüft Amazon S3 auch auf Block Public Access-Einstellungen für den Zugriffspunkt. Wenn eine Block Public Access-Einstellung vorhanden ist, die den angeforderten Zugriff verbietet, lehnt Amazon S3 die Anforderung ab.
Amazon S3 Block Public Access bietet vier Einstellungen. Diese Einstellungen sind voneinander unabhängig und können in beliebiger Kombination verwendet werden. Jede Einstellung kann auf einen Zugriffspunkt, einen Bucket oder ein gesamtes AWS-Konto angewendet werden. Auf Organisationsebene werden alle vier Einstellungen zusammen als einheitliche Richtlinie angewendet. Sie können einzelne Einstellungen nicht granular auswählen. Wenn sich die Block Public Access-Einstellungen für den Zugriffspunkt, den Bucket oder das Konto unterscheiden, wendet Amazon S3 die restriktivste Kombination der Zugriffspunkt-, Bucket- und Kontoeinstellungen an. Einstellungen auf Kontoebene übernehmen automatisch Richtlinien auf Organisationsebene, sofern vorhanden, und S3 verwendet die restriktivste Richtlinie zwischen Einstellungen auf Bucketebene und effektiven Einstellungen auf Kontoebene. Wenn in Ihrer Organisation beispielsweise die Richtlinie „Öffentlichen Zugriff blockieren“ aktiviert ist, in einem bestimmten Bucket aber die Option „Öffentlichen Zugriff blockieren“ auf Bucket-Ebene deaktiviert ist, ist der Bucket trotzdem geschützt, da S3 die restriktiveren Einstellungen auf Organisations- oder Kontoebene anwendet. Umgekehrt gilt: Wenn Ihre Unternehmensrichtlinie deaktiviert ist, für einen Bucket aber die Option „Öffentlicher Zugriff blockieren“ aktiviert ist, bleibt dieser Bucket durch seine Einstellungen auf Bucket-Ebene geschützt.
Wenn Amazon S3 bewertet, ob ein Vorgang durch eine Einstellung zum Sperren des öffentlichen Zugriffs verboten ist, lehnt es jede Anfrage ab, die gegen eine Unternehmensrichtlinie (die die BPA-Einstellung des Kontos durchsetzt) oder gegen einen Access Point, einen Bucket oder eine Kontoeinstellung verstößt.
Wichtig
Öffentlicher Zugriff auf Buckets und Objekte wird über Zugriffskontrolllisten (ACLs), Zugriffspunktrichtlinien, Bucket-Richtlinien oder alles gewährt. Um sicherzustellen, dass der öffentliche Zugriff für alle Amazon-S3-Zugriffspunkte, -Buckets und -Objekte blockiert ist, empfehlen wir, alle vier Einstellungen zur Blockierung des öffentlichen Zugriffs für das Konto zu aktivieren. Für Organisationen, die mehrere Konten verwalten, sollten Sie erwägen, Richtlinien zum Sperren des öffentlichen Zugriffs auf Organisationsebene für eine zentrale Steuerung zu verwenden. Darüber hinaus empfehlen wir, dass Sie auch alle vier Einstellungen für jeden Bucket aktivieren, um der AWS Security Hub Foundational Security Best Practices-Steuerung S3.8 zu entsprechen. Diese Einstellungen blockieren den öffentlichen Zugriff für alle aktuellen und künftigen Buckets und Zugriffspunkte.
Bevor Sie diese Einstellungen anwenden, verifizieren Sie, dass Ihre Anwendungen ohne öffentlichen Zugriff korrekt funktionieren. Wenn ein bestimmtes Maß an öffentlichem Zugriff auf Ihre Buckets oder Objekte nötig ist, z. B. zum Hosten einer statischen Website, wie unter Hosten einer statischen Website mit Amazon S3 beschrieben, können Sie die einzelnen Einstellungen an Ihre Speicheranwendungsfälle anpassen.
Die Aktivierung von Block Public Access trägt zum Schutz Ihrer Ressourcen bei, indem verhindert wird, dass öffentlicher Zugriff über die Ressourcenrichtlinien oder Zugriffskontrolllisten (ACLs) gewährt wird, die direkt mit S3-Ressourcen verknüpft sind. Zusätzlich zur Aktivierung von Block Public Access sollten Sie die folgenden Richtlinien sorgfältig prüfen, um sicherzustellen, dass sie keinen öffentlichen Zugriff zulassen:
-
Identitätsbasierte Richtlinien, die mit zugehörigen AWS Prinzipalen verknüpft sind (z. B. IAM-Rollen)
-
Ressourcenbasierte Richtlinien, die mit zugehörigen AWS Ressourcen verknüpft sind (z. B. (KMS-) Schlüssel) AWS Key Management Service
Anmerkung
-
Sie können die Einstellungen zum Blockieren des öffentlichen Zugriffs nur für Organisationen, Access Points, Buckets und aktivieren. AWS-Konten Amazon S3 unterstützt keine Block Public Access-Einstellungen für den öffentlichen Zugriff pro Objekt.
-
Wenn Sie die Einstellungen zum Sperren des öffentlichen Zugriffs auf ein Konto anwenden, gelten die Einstellungen für alle Konten AWS-Regionen weltweit. Die Einstellungen werden möglicherweise nicht in allen Regionen umgehend oder gleichzeitig wirksam, werden aber auf jeden Fall von allen Regionen übernommen.
-
Wenn Sie Richtlinien zur Sperrung des öffentlichen Zugriffs auf Organisationsebene anwenden, werden diese automatisch auf die ausgewählten Mitgliedskonten übertragen und überschreiben die Einstellungen auf Kontoebene.
Themen
Verwaltung des blockierten öffentlichen Zugriffs auf Organisationsebene
Durchführen von Block Public Access-Vorgänge an einem Zugriffspunkt
Verwenden von IAM Access Analyzer für S3 zur Überprüfung öffentlicher Buckets
Konfigurieren der Block-Public-Access-Einstellungen für Ihr Konto
Konfigurieren von Block-Public-Access-Einstellungen für Ihre S3-Buckets
Block Public Access-Einstellungen
S3 Block Public Access bietet vier Einstellungen. Sie können diese Einstellungen in beliebiger Kombination auf einzelne Zugriffspunkte, Buckets oder auf ganze AWS-Konten anwenden. Auf Organisationsebene können Sie nur alle vier Einstellungen zusammen aktivieren oder deaktivieren, indem Sie den Ansatz „Alle“ oder „Keine“ verwenden. Eine detaillierte Steuerung einzelner Einstellungen ist nicht möglich. Wenn Sie eine Einstellung auf ein Konto anwenden, gilt sie für alle Buckets und Zugriffspunkte, die dem Konto gehören. Einstellungen auf Kontoebene werden automatisch von den Unternehmensrichtlinien übernommen, sofern vorhanden. Wenn Sie eine Einstellung auf einen Bucket anwenden, gilt diese auch für alle Zugriffspunkte, die diesem Bucket zugeordnet sind.
Die Vererbung und Durchsetzung von Richtlinien funktioniert wie folgt:
-
Richtlinien auf Organisationsebene gelten automatisch für Mitgliedskonten und setzen alle bestehenden Einstellungen auf Kontoebene durch
-
Einstellungen auf Kontoebene werden von Unternehmensrichtlinien übernommen, sofern vorhanden, oder verwenden lokal konfigurierte Einstellungen, wenn keine Organisationsrichtlinie existiert
-
Einstellungen auf Bucket-Ebene funktionieren unabhängig, unterliegen jedoch bestimmten Durchsetzungsbeschränkungen. S3 wendet die restriktivste Kombination auf allen anwendbaren Ebenen an — Einstellungen auf Organisation/Kontoebene und auf Bucket-Ebene. Das bedeutet, dass ein Bucket den Basisschutz von seinem Konto erbt (das möglicherweise von der Organisation verwaltet wird), aber S3 erzwingt die Konfiguration, die zwischen den Einstellungen des Buckets und den effektiven Einstellungen des Kontos restriktiver ist.
Die folgende Tabelle enthält die verfügbaren Einstellungen.
| Name | Beschreibung |
|---|---|
BlockPublicAcls |
Das Festlegen dieser Option auf
Wenn diese Einstellung auf gesetzt ist AnmerkungAccess Points sind ihnen nicht ACLs zugeordnet. Wenn Sie diese Einstellung auf einen Zugriffspunkt anwenden, fungiert sie als Passthrough zum zugrunde liegenden Bucket. Wenn diese Einstellung für einen Zugriffspunkt aktiviert ist, verhalten sich Anforderungen, die über den Zugriffspunkt vorgenommen werden, so als ob der zugrunde liegende Bucket diese Einstellung aktiviert hat, unabhängig davon, ob diese Einstellung für den Bucket tatsächlich aktiviert ist. |
IgnorePublicAcls |
Wenn Sie diese Option AnmerkungAccess Points sind ihnen nicht ACLs zugeordnet. Wenn Sie diese Einstellung auf einen Zugriffspunkt anwenden, fungiert sie als Passthrough zum zugrunde liegenden Bucket. Wenn diese Einstellung für einen Zugriffspunkt aktiviert ist, verhalten sich Anforderungen, die über den Zugriffspunkt vorgenommen werden, so als ob der zugrunde liegende Bucket diese Einstellung aktiviert hat, unabhängig davon, ob diese Einstellung für den Bucket tatsächlich aktiviert ist. |
BlockPublicPolicy |
Wenn Sie diese Option für einen Bucket auf Wenn diese Option für einen Zugangspunkt auf Mit dieser Einstellung können Sie Benutzern erlauben, Zugriffspunkt- und Bucket-Richtlinien zu verwalten, ohne ihnen die öffentliche Freigabe des Buckets oder der darin enthaltenen Objekte zu gestatten. Die Aktivierung dieser Einstellung hat keine Auswirkungen auf vorhandene Zugriffspunkt- oder Bucket-Richtlinien. WichtigUm diese Einstellung effektiv zu nutzen, empfehlen wir Ihnen, sie auf Konto-Ebene anzuwenden. Eine Bucket-Richtlinie kann Benutzern das Ändern der Block Public Access-Einstellungen eines Buckets gestatten. Daher könnten Benutzer mit der Berechtigung zum Ändern einer Bucket-Richtlinie eine Richtlinie einfügen, die es ihnen erlaubt, die Block Public Access-Einstellungen für den Bucket zu deaktivieren. Wenn diese Einstellung dann für das ganze Konto aktiviert wird statt für einen bestimmten Bucket, blockiert Amazon S3 öffentliche Richtlinien selbst dann, wenn ein Benutzer die Bucket-Richtlinie so ändert, dass diese Einstellung deaktiviert wird. |
RestrictPublicBuckets |
Wenn Sie diese Option so einstellen, dass der Zugriff auf einen Access Point oder Bucket mit einer öffentlichen Richtlinie nur auf AWS Service Principals und autorisierte Benutzer innerhalb des Kontos des Bucket-Besitzers und des Accounts des Access Point-Besitzers Die Aktivierung dieser Einstellung wirkt sich nicht auf vorhandene Zugriffspunkt- oder Bucket-Richtlinien aus – mit folgender Ausnahme: Amazon S3 blockiert den öffentlichen und kontenübergreifenden Zugriff, der von einer öffentlichen Zugriffspunkt- oder Bucket-Richtlinie abgeleitet wird, darunter auch die nicht-öffentliche Delegation auf bestimmte Konten. |
Wichtig
-
GetBucketAcl- undGetObjectAcl-Aufrufe geben immer die effektiven Berechtigungen für den angegebenen Bucket oder das angegebene Objekt zurück. Nehmen wir als Beispiel an, dass ein Bucket über eine ACL verfügt, die den öffentlichen Zugriff zulässt, dass für den Bucket aber auch die EinstellungIgnorePublicAclsaktiviert ist. In diesem Fall gibt „GetBucketAcl“ statt der ACL, die tatsächlich mit dem Bucket verknüpft ist, eine ACL zurück, die die von Amazon S3 durchgesetzten Zugriffsberechtigungen widerspiegelt. -
Einstellungen zum Blockieren des öffentlichen Zugriffs ändern keine bestehenden Richtlinien oder. ACLs Daher sorgt das Entfernen einer Block Public Access-Einstellung dafür, dass ein Bucket oder ein Objekt mit einer öffentlichen Richtlinie oder ACLs wieder öffentlich zugänglich ist.
Verwaltung des blockierten öffentlichen Zugriffs auf Organisationsebene
Der Block Public Access auf Organisationsebene verwendet AWS Organizations Richtlinien zur zentralen Verwaltung der öffentlichen Zugriffskontrollen in S3 in Ihrem gesamten Unternehmen. Wenn diese Richtlinien aktiviert sind, gelten sie automatisch für ausgewählte Konten und setzen individuelle Einstellungen auf Kontoebene außer Kraft.
Weitere Informationen zur Sperrung des öffentlichen Zugriffs auf Organisationsebene finden Sie unter S3-Richtlinie im AWS Organizations Benutzerhandbuch.
Durchführen von Block Public Access-Vorgänge an einem Zugriffspunkt
Verwenden Sie den AWS CLI Dienst, um Operationen zum Blockieren des öffentlichen Zugriffs an einem Access Point durchzuführens3control.
Wichtig
Sie können die Block Public Access-Einstellungen für einen Zugangspunkt nicht ändern, nachdem der Zugangspunkt erstellt wurde. Die einzige Möglichkeit, Block Public Access-Einstellungen für einen Zugangspunkt anzugeben, besteht darin, diese beim Erstellen des Zugangspunkts einzuschließen.
Die Bedeutung von „öffentlich“
ACLs
Amazon S3 betrachtet eine Bucket- oder Objekt-ACL als öffentlich, wenn sie Mitgliedern der vordefinierten Gruppen AllUsers oder AuthenticatedUsers irgendwelche Berechtigungen erteilt. Weitere Informationen zu vordefinierten Gruppen finden Sie unter Vordefinierte Gruppen in Amazon S3.
Bucket-Richtlinien
Bei der Evaluierung einer Bucket-Richtlinie beginnt Amazon S3 mit der Annahme, dass die Richtlinie öffentlich ist. Dann evaluiert es die Richtlinie, um festzustellen, ob sie als nicht-öffentlich eingestuft werden kann. Um als nicht öffentlich zu gelten, darf eine Bucket-Richtlinie nur Zugriff auf feste Werte (Werte, die keine Platzhalter oder eine AWS Identity and Access Management -Richtlinienvariable enthalten) gewähren, für einen oder mehrere der folgenden Werte:
-
Ein AWS Prinzipal, Benutzer, Rollen oder Dienstprinzipal
aws:PrincipalOrgID(z. B. -
Eine Reihe von Classless Inter-Domain Routing (CIDR) Blöcken, die
aws:SourceIpverwenden. Weitere Informationen zu CIDR finden Sie unter RFC 4632auf der RFC-Editor-Website. Anmerkung
Bucket-Richtlinien, die abhängig vom
aws:SourceIp-Bedingungsschlüssel Zugriff mit sehr breiten IP-Bereichen gewähren (z. B. 0.0.0.0/1), werden als „öffentlich“ bewertet. Dazu gehören umfassendere Werte als/8für IPv4 und/32für IPv6 ( RFC1918 private Bereiche ausgenommen). „Öffentlichen Zugriff blockieren“ lehnt diese „öffentlichen“ Richtlinien ab und verhindert den kontoübergreifenden Zugriff auf Buckets, die bereits diese „öffentlichen“ Richtlinien verwenden. -
aws:SourceArn -
aws:SourceVpc -
aws:SourceVpce -
aws:SourceOwner -
aws:SourceAccount -
aws:userid, außerhalb des Musters "AROLEID:*" -
s3:DataAccessPointArnAnmerkung
Bei Verwendung in einer Bucket-Richtlinie kann dieser Wert einen Platzhalter für den Namen des Zugangspunkts enthalten, ohne die Richtlinie öffentlich zu machen, solange die Konto-ID fixiert ist. Das Zulassen des Zugriffs auf
arn:aws:s3:us-west-2:123456789012:accesspoint/*würde beispielsweise den Zugriff auf jeden Zugriffspunkt ermöglichen, der dem Konto123456789012in Regionus-west-2zugeordnet ist, ohne die Bucket-Richtlinie öffentlich zu machen. Beachten Sie, dass sich dieses Verhalten von dem von Zugangspunkt-Richtlinien unterscheidet. Weitere Informationen finden Sie unter Zugriffspunkte. -
s3:DataAccessPointAccount
Weitere Informationen zu Bucket-Richtlinien finden Sie unter Bucket-Richtlinien für Amazon S3.
Anmerkung
Wenn Sie mehrwertige Kontextschlüsselverwenden, müssen Sie die ForAllValues oder ForAnyValue Set-Operatoren verwenden.
Beispiel: Öffentliche Bucket-Richtlinien
Nach diesen Regeln gelten die folgenden Beispielrichtlinien als öffentlich.
{ "Principal": "*", "Resource": "*", "Action": "s3:PutObject", "Effect": "Allow" }
{ "Principal": "*", "Resource": "*", "Action": "s3:PutObject", "Effect": "Allow", "Condition": { "StringLike": {"aws:SourceVpc": "vpc-*"}} }
Diese Richtlinien können zu nicht-öffentlichen Richtlinien gemacht werden, indem einer der vorgenannten Bedingungsschlüssel unter Verwendung eines festen Wertes eingefügt wird. So können Sie beispielsweise die letzte oben angeführte Richtlinie zu einer nicht-öffentlichen Richtlinie machen, indem Sie aws:SourceVpc wie folgt auf einen festen Wert festlegen.
{ "Principal": "*", "Resource": "*", "Action": "s3:PutObject", "Effect": "Allow", "Condition": {"StringEquals": {"aws:SourceVpc": "vpc-91237329"}} }
So wertet Amazon S3 eine Bucket-Richtlinie aus, die Berechtigungen sowohl für den öffentlichen wie auch für den nicht-öffentlichen Zugriff enthält
Dieses Beispiel zeigt, wie Amazon S3 eine Bucket-Richtlinie bewertet, die Berechtigungen sowohl für den öffentlichen wie auch für den nicht-öffentlichen Zugriff enthält.
Nehmen wir an, dass ein Bucket eine Richtlinie aufweist, die den Zugriff auf einen Satz an festen Prinzipalen gewährt. Nach den zuvor beschriebenen Regeln gilt diese Richtlinie nicht als öffentlich. Wenn Sie daher die Einstellung RestrictPublicBuckets aktivieren, bleibt die Richtlinie wie geschrieben in Kraft, da RestrictPublicBuckets nur für Buckets mit öffentlichen Richtlinien gilt. Wenn Sie jedoch der Richtlinie eine öffentliche Anweisung hinzufügen, wird RestrictPublicBuckets für den Bucket wirksam. Es ermöglicht nur AWS Serviceprinzipalen und autorisierten Benutzern des Kontos des Bucket-Besitzers den Zugriff auf den Bucket.
Nehmen wir beispielsweise an, dass ein Bucket, der „Konto-1“ gehört, eine Richtlinie aufweist, die Folgendes enthält:
-
Eine Anweisung, die Zugriff auf gewährt AWS CloudTrail (was ein AWS Dienstprinzipal ist)
-
eine Anweisung, die Konto "Konto-2" Zugriff gewährt
-
eine Anweisung, die der Öffentlichkeit Zugriff gewährt, z. B. durch das Festlegen von
"Principal": "*"ohne einschränkendeCondition
Diese Richtlinie gilt wegen der dritten Anweisung als öffentlich. Wenn diese Richtlinie eingerichtet und RestrictPublicBuckets aktiviert ist, ermöglicht Amazon S3 den Zugriff nur von CloudTrail. Beachten Sie: Obwohl die zweite Anweisung nicht öffentlich ist, deaktiviert Amazon S3 den Zugriff durch „Account-2“. Das liegt daran, dass die dritte Anweisung die gesamte Richtlinie zu einer öffentlichen Richtlinie macht, so dass RestrictPublicBuckets gilt. Somit deaktiviert Amazon S3 den kontoübergreifenden Zugriff, obwohl die Richtlinie den Zugriff an ein bestimmtes Konto („Account-2“) delegiert. Wenn Sie aber die dritte Anweisung aus der Richtlinie entfernen, gilt die Richtlinie nicht als öffentlich, und RestrictPublicBuckets ist nicht mehr gültig. Somit erhält „Konto-2“ wieder Zugriff auf den Bucket, selbst wenn Sie RestrictPublicBuckets aktiviert lassen.
Zugriffspunkte
Amazon S3 wertet Block Public Access-Einstellungen für Zugriffspunkte geringfügig anders als für Buckets aus. Die Regeln, die Amazon S3 anwendet, um zu bestimmen, wann eine Zugriffspunkt-Richtlinie öffentlich ist, sind für Zugriffspunkte im Allgemeinen dieselben wie für Buckets, außer in den folgenden Situationen:
-
Ein Zugriffspunkt mit einem VPC-Netzwerkursprung wird unabhängig vom Inhalt seiner Zugriffspunkt-Richtlinie immer als nicht öffentlich betrachtet.
-
Eine Zugriffspunktrichtlinie, die Zugriff auf eine Gruppe von Zugriffspunkten unter Verwendung von
s3:DataAccessPointArngewährt, gilt als öffentlich. Beachten Sie, dass sich dieses Verhalten von dem von Bucket-Richtlinien unterscheidet. Beispielsweise wird eine Bucket-Richtlinie, die Zugriff aufs3:DataAccessPointArn-Werte gewährt, diearn:aws:s3:us-west-2:123456789012:accesspoint/*entsprechen, nicht als öffentlich betrachtet. Dieselbe Anweisung in einer Zugriffspunkt-Richtlinie würde jedoch den Zugriffspunkt öffentlich machen.
Verwenden von IAM Access Analyzer für S3 zur Überprüfung öffentlicher Buckets
Sie können IAM Access Analyzer for S3 verwenden, um Buckets mit Buckets ACLs, Bucket-Richtlinien oder Access Point-Richtlinien zu überprüfen, die öffentlichen Zugriff gewähren. IAM Access Analyzer for S3 warnt Sie vor Buckets, die so konfiguriert sind, dass sie allen Personen im Internet oder auf anderen Websites AWS-Konten, auch AWS-Konten außerhalb Ihrer Organisation, Zugriff gewähren. Für jeden öffentlichen oder freigegebenen Bucket erhalten Sie Ergebnisse, die die Quelle und die Ebene des öffentlichen oder freigegebenen Zugriffs melden.
In IAM Access Analyzer für S3 können Sie den gesamten öffentlichen Zugriff auf einen Bucket mit einem einzigen Klick blockieren. Sie können auch einen Drilldown in die Berechtigungseinstellungen auf Bucket-Ebene ausführen, um detaillierte Zugriffsebenen zu konfigurieren. Für bestimmte und geprüfte Anwendungsfälle, die öffentlichen oder freigegebenen Zugriff erfordern, können Sie Ihre Absicht bestätigen und aufzeichnen, dass der Bucket öffentlich oder freigegeben bleibt, indem Sie die Ergebnisse für den Bucket archivieren.
In seltenen Fällen kann es bei der Bewertung von IAM Access Analyzer für S3 und Amazon S3 Block Public Access unterschiedlich sein, wenn es einen Bucket gibt. Dieses Verhalten tritt auf, weil Amazon S3 Block Public Access zusätzlich zur Bewertung des öffentlichen Zugriffs auch das Vorhandensein von Aktionen überprüft. Angenommen, die Bucket-Richtlinie enthält eine Action Anweisung, die den öffentlichen Zugriff für eine Aktion ermöglicht, die von Amazon S3 nicht unterstützt wird (z. B.s3:NotASupportedAction). In diesem Fall bewertet Amazon S3 Block Public Access den Bucket als öffentlich, da eine solche Aussage den Bucket möglicherweise öffentlich machen könnte, wenn die Aktion später unterstützt wird. In Fällen, in denen Amazon S3 Block Public Access und IAM Access Analyzer for S3 unterschiedlich bewertet werden, empfehlen wir, die Bucket-Richtlinie zu überprüfen und alle nicht unterstützten Aktionen zu entfernen.
Weitere Informationen zu IAM Access Analyzer für S3 finden Sie unter Überprüfen des Bucket-Zugriffs mit IAM Access Analyzer für S3.
Berechtigungen
Um die Funktionen von Amazon S3 Block Public Access zu nutzen, benötigen Sie die folgenden Berechtigungen:
| Operation | Erforderliche Berechtigungen |
|---|---|
Richtlinienstatus des GET-Buckets |
s3:GetBucketPolicyStatus |
GET bucket Block Public Access settings |
s3:GetBucketPublicAccessBlock |
PUT bucket Block Public Access settings |
s3:PutBucketPublicAccessBlock |
DELETE bucket Block Public Access settings |
s3:PutBucketPublicAccessBlock |
GET account Block Public Access settings |
s3:GetAccountPublicAccessBlock |
PUT account Block Public Access settings |
s3:PutAccountPublicAccessBlock |
DELETE account Block Public Access settings |
s3:PutAccountPublicAccessBlock |
PUT Zugangspunkt-Block Public Access-Einstellungen |
s3:CreateAccessPoint |
Anmerkung
Für die DELETE-Vorgänge sind dieselben Berechtigungen erforderlich wie für die PUT-Vorgänge. Es gibt keine separaten Berechtigungen für die DELETE-Vorgänge.
Verwenden von Block Public Access
Weitere Informationen zur Konfiguration von Block Public Access für Ihre AWS-Konto, Ihre Amazon S3 S3-Buckets und Ihre Access Points finden Sie in den folgenden Themen:
