Examen de l’accès aux compartiments à l’aide de l’analyseur d’accès IAM pour S3 - Amazon Simple Storage Service
Revue des accès externes à l’aide d’une synthèse des accès externesInformations fournies par l’analyseur d’accès IAM pour S3Blocage de tous les accès publicsVérification et modification de l’accès à un compartimentArchivage des résultats de compartimentActivation d’un résultat de compartiment archivéAffichage des détails de résultatsTéléchargement d’un rapport de l’analyseur d’accès IAM pour S3

Examen de l’accès aux compartiments à l’aide de l’analyseur d’accès IAM pour S3

L’analyseur d’accès IAM pour S3 fournit les accès externes à vos compartiments à usage général S3 qui sont configurés pour autoriser l’accès à toute personne sur Internet (public) ou à d’autres Comptes AWS, y compris les Comptes AWS externes à votre organisation. Pour chaque compartiment public ou partagé avec d’autres Comptes AWS, vous recevez la source et le niveau des accès partagés. Par exemple, l’analyseur d’accès IAM pour S3 peut montrer qu’un compartiment dispose d’un accès en lecture ou en écriture fourni via une liste de contrôle d’accès (ACL) de compartiment, une stratégie de compartiment, une politique de point d’accès multirégion ou une politique de point d’accès. Grâce à ces résultats, vous pouvez prendre des mesures correctives immédiates et précises pour rétablir l’accès à votre compartiment comme vous l’aviez prévu.

La console Amazon S3 présente une synthèse des accès externes en regard de la liste de vos compartiments à usage général. Dans la synthèse, vous pouvez cliquer sur les résultats actifs de chaque Région AWS pour afficher leurs détails dans la page de l’analyseur d’accès IAM pour S3. Les résultats des accès externes figurant dans le résumé des accès externes sont automatiquement mis à jour toutes les 24 heures.

Lorsque vous passez en revue un compartiment qui autorise un accès public, sur la page de l’analyseur d’accès IAM pour S3, vous pouvez bloquer tous les accès publics au compartiment en un seul clic. Nous vous recommandons de bloquer tous les accès publics à vos compartiments, sauf si vous avez besoin d’un accès public pour répondre à un cas d’utilisation spécifique. Avant de bloquer tout accès public, assurez-vous que vos applications continueront à fonctionner correctement sans accès public. Pour plus d’informations, consultez Blocage de l’accès public à votre stockage Amazon S3.

Vous pouvez également aller plus loin en configurant des niveaux d’accès précis dans les paramètres des niveaux d’autorisation des compartiments. Pour des cas d’utilisation spécifiques et vérifiés nécessitant un accès public, tels que l’hébergement statique de site web, les téléchargements publics ou le partage entre comptes, vous pouvez confirmer et enregistrer votre intention pour que le compartiment reste public ou partagé en archivant les résultats du compartiment. Vous pouvez revisiter et modifier ces configurations de compartiments à tout moment. Vous pouvez également télécharger vos résultats sous forme de rapport CSV à des fins d’audit.

L’analyseur d’accès IAM pour S3 est disponible gratuitement sur la console Amazon S3. L’analyseur d’accès IAM pour S3 est optimisé par l’analyseur d’accès IAM d’AWS Identity and Access Management (IAM). Pour utiliser l’analyseur d’accès IAM pour S3 dans la console Amazon S3, vous devez accéder à la console IAM et créer un analyseur des accès externes par région.

Pour plus d’informations sur l’analyseur d’accès IAM, consultez Qu’est-ce que l’analyseur d’accès IAM ? dans le Guide de l’utilisateur IAM. Pour plus d’informations sur l’analyseur d’accès IAM pour S3, consultez les sections suivantes.

Important

  • L’analyseur d’accès IAM pour S3 nécessite un analyseur au niveau du compte dans chaque compartiment Région AWS. Pour utiliser l’analyseur d’accès IAM pour S3, vous devez accéder à l’analyseur d’accès IAM et créer un analyseur doté d’un compte comme zone de confiance. Pour plus d’informations, consultez Activation de l’analyseur d’accès IAM dans le Guide de l’utilisateur IAM.

  • L’analyseur d’accès IAM pour S3 n’analyse pas la politique de point d’accès qui est attachée aux points d’accès intercomptes. Ce comportement se produit parce que le point d’accès et sa politique sont en dehors de la zone de confiance, c’est-à-dire du compte. Les compartiments qui délèguent l’accès à un point d’accès intercompte sont répertoriés sous Buckets with public access (Compartiments avec accès public) si vous n’avez pas appliqué le paramètre de blocage de l’accès public RestrictPublicBuckets au compartiment ou au compte. Lorsque vous appliquez le paramètre de blocage de l’accès public RestrictPublicBuckets, le compartiment est signalé sous Compartiments avec accès depuis d’autres Comptes AWS, y compris des Comptes AWS tiers.

  • Lorsqu’une stratégie de compartiment ou une liste de contrôle d’accès (ACL) de compartiment est ajoutée ou modifiée, l’analyseur d’accès IAM génère et met à jour les résultats en fonction de la modification dans un délai de 30 minutes. Il peut s’écouler jusqu’à six heures avant que les résultats relatifs aux paramètres de blocage de l’accès public au niveau du compte ne soient générés ou mis à jour après la modification des paramètres. Les résultats relatifs aux points d’accès multi-régions ne peuvent pas être générés ou mis à jour pendant six heures au maximum après la création, la suppression d’un point d’accès multi-régions ou la modification de sa politique.

Revue de la synthèse globale des stratégies qui autorisent un accès externe aux compartiments

Vous pouvez utiliser la synthèse des accès externes pour consulter un résumé global des stratégies qui accordent un accès externe aux compartiments de votre Compte AWS directement depuis la console S3. Cette synthèse vous aide à identifier les compartiments à usage général S3 de n’importe quelle Région AWS qui autorisent un accès public ou un accès depuis d’autres Comptes AWS sans avoir à inspecter les stratégies de chaque Région AWS individuellement.

Activation de la synthèse des accès externes et de l’analyseur d’accès IAM pour S3

Pour utiliser la synthèse des accès externes et l’analyseur d’accès IAM pour S3, vous devez effectuer les étapes prérequises suivantes.

  1. Accordez les autorisations requises. Pour plus d’informations, consultez Autorisations requises pour l’utilisation de l’analyseur d’accès IAM dans le Guide de l’utilisateur IAM.

  2. Accédez à IAM pour créer un analyseur au niveau du compte pour chaque région où vous souhaitez utiliser l’analyseur d’accès IAM.

    Vous pouvez le faire en créant un analyseur doté d’un compte comme zone de confiance dans la console IAM ou en utilisant l’AWS CLI ou les kits AWS SDK. Pour plus d’informations, consultez Activation de l’analyseur d’accès IAM dans le Guide de l’utilisateur IAM.

Affichage des compartiments autorisant un accès externe

La synthèse des accès externes affiche les résultats et les erreurs des accès externes fournis par l’analyseur d’accès IAM pour S3 pour les compartiments à usage général. Les résultats archivés et les résultats relatifs aux accès non utilisés ne figurent pas dans la synthèse, mais ils peuvent être consultés dans la console IAM ou l’analyseur d’accès IAM pour S3. Pour plus d’informations, consultez Affichage du tableau de bord des résultats de l’analyseur d’accès IAM dans le Guide de l’utilisateur IAM.

Note

La synthèse des accès externes inclut uniquement les résultats de l’analyseur des accès externes de chaque Comptes AWS, et non de votre AWS Organization.

  1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation de gauche, choisissez Compartiments à usage général.

  3. Développez le résumé des accès externes. La console affiche les accès publics et intercomptes actifs.

    Note

    Si S3 rencontre un problème lors du chargement des détails du compartiment, actualisez la liste des compartiments à usage général ou consultez les résultats dans l’analyseur d’accès IAM pour S3. Pour plus d’informations, consultez Examen de l’accès aux compartiments à l’aide de l’analyseur d’accès IAM pour S3.

  4. Pour consulter la liste des résultats ou des erreurs d’une Région AWS, cliquez sur le lien de la région. La page Analyseur d’accès IAM pour S3 affiche les noms des compartiments accessibles publiquement ou par d’autres Comptes AWS. Pour plus d’informations, consultez Informations fournies par l’analyseur d’accès IAM pour S3.

Mise à jour des contrôles d’accès des compartiments autorisant un accès externe

  1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation de gauche, choisissez Compartiments à usage général.

  3. Développez le résumé des accès externes. La console affiche les résultats actifs des compartiments accessibles publiquement ou par d’autres Comptes AWS.

    Note

    Si S3 rencontre un problème lors du chargement des détails du compartiment, actualisez la liste des compartiments à usage général ou consultez les résultats dans l’analyseur d’accès IAM pour S3. Pour plus d’informations, consultez Examen de l’accès aux compartiments à l’aide de l’analyseur d’accès IAM pour S3.

  4. Pour consulter la liste des résultats ou des erreurs d’une Région AWS, cliquez sur le lien de la région. L’analyseur d’accès IAM pour S3 affiche les résultats actifs des compartiments accessibles publiquement ou par d’autres Comptes AWS.

    Note

    Les résultats des accès externes figurant dans le résumé des accès externes sont automatiquement mis à jour toutes les 24 heures.

  5. Pour bloquer tous les accès publics à un compartiment, consultez Blocage de tous les accès publics. Pour modifier l’accès à un compartiment, consultez Vérification et modification de l’accès à un compartiment.

Informations fournies par l’analyseur d’accès IAM pour S3

L’analyseur d’accès IAM pour S3 fournit des résultats pour les compartiments accessibles hors de votre Compte AWS. Les compartiments répertoriés sous Résultats des accès publics sont accessibles par n’importe quel utilisateur d’Internet. Si l’analyseur d’accès IAM pour S3 identifie des compartiments publics, un avertissement en haut de la page indique le nombre de compartiments publics figurant dans votre région. Les compartiments répertoriés sous Résultats des accès intercomptes sont partagés sous certaines conditions avec d’autres Comptes AWS, y compris des comptes extérieurs à votre organisation.

Pour chaque compartiment, l’analyseur d’accès IAM pour S3 fournit les informations suivantes :

  • Nom de compartiment

  • Shared through (Partagé via) – Mode de partage du compartiment : via une stratégie de compartiment, une liste de contrôle d’accès (ACL) ou une politique de point d’accès. Les points d’accès multi-régions et les points d’accès intercompte figurent sous la rubrique points d’accès. Un compartiment peut être partagé via des politiques et des listes de contrôle d’accès. Si vous souhaitez rechercher et examiner la source de votre accès au compartiment, vous pouvez utiliser les informations de cette colonne comme point de départ pour prendre des mesures correctives immédiates et précises.

  • Status (Statut) : statut du résultat de compartiment. L’analyseur d’accès IAM pour S3 affiche les résultats pour tous les compartiments publics et partagés.

    • Active (Actif) : le résultat n’a pas été vérifié.

    • Archived (Archivé) : le résultat a été vérifié et confirmé comme prévu.

    • Tous : tous les résultats pour les compartiments qui sont publics ou partagés avec d’autres Comptes AWS, y compris des Comptes AWS extérieurs à votre organisation.

  • Access level (Niveau d’accès) : autorisations d’accès accordées pour le compartiment :

    • List (Liste) : répertorier les ressources.

    • Read (Lecture) : lire mais ne pas modifier les contenus et attributs de ressources.

    • Write (Écriture) : créer, supprimer ou modifier des ressources.

    • Permissions (Autorisations) : accorder ou modifier des autorisations de ressources.

    • Tagging (Balisage) : mettre à jour les balises associées à la ressource.

  • Principal externe : Compte AWS externe à votre organisation ayant accès au compartiment.

  • Restriction de la politique de contrôle des ressources (RCP) : politique de contrôle des ressources (RCP) qui s’applique au compartiment, le cas échéant. Pour plus d’informations, consultez Politiques de contrôle des ressources (RCP).

Blocage de tous les accès publics

Si vous souhaitez bloquer tout accès à un compartiment en un seul clic, vous pouvez utiliser le bouton Bloquer tout l’accès public dans l’analyseur d’accès IAM pour S3. Lorsque vous bloquez tout accès public à un compartiment, aucun accès public n’est accordé. Nous vous recommandons de bloquer tous les accès publics à vos compartiments, sauf si vous avez besoin d’un accès public pour prendre en charge un cas d’utilisation spécifique et vérifié. Avant de bloquer tout accès public, assurez-vous que vos applications continueront à fonctionner correctement sans accès public.

Si vous ne souhaitez pas bloquer tous les accès publics à votre compartiment, vous pouvez modifier vos paramètres de blocage de l’accès public dans la console Amazon S3 pour configurer des niveaux d’accès précis à vos compartiments. Pour plus d’informations, consultez Blocage de l’accès public à votre stockage Amazon S3.

Dans de rares cas, l’analyse d’accès IAM pour S3 et le blocage de l’accès public Amazon S3 peuvent différer selon qu’un compartiment est public ou non. Ce comportement est dû au fait que le blocage de l’accès public Amazon S3 valide l’existence d’actions en plus d’évaluer l’accès public. Supposons que la stratégie de compartiment contienne une instruction Action qui autorise l’accès public pour une action qui n’est pas prise en charge par Amazon S3 (par exemple, s3:NotASupportedAction). Dans ce cas, le blocage de l’accès public Amazon S3 considère le compartiment comme public, car cette instruction pourrait potentiellement le rendre public si l’action venait à être prise en charge ultérieurement. Si le blocage de l’accès public Amazon S3 et l’analyseur d’accès IAM pour S3 divergent dans leurs évaluations, nous vous recommandons de revoir la stratégie de compartiment et de supprimer toutes les actions non prises en charge.

Pour bloquer tout accès public à un compartiment à l’aide de l’analyseur d’accès IAM pour S3

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l’adresse https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation de gauche, sous Dashboards (Tableaux de bord), choisissez Access Analyzer for S3 (Analyseur d’accès pour S3).

  3. Dans l’analyseur d’accès IAM pour S3, choisissez un compartiment.

  4. Choisissez Block all public access (Bloquer tous les accès publics).

  5. Pour confirmer votre intention de bloquer tout accès public au compartiment, dans Block all public access (bucket settings) (Bloquer tout accès public (paramètres du compartiment)), entrez confirm.

    Amazon S3 bloque tout accès public à votre compartiment. Le statut du résultat de compartiment devient résolu et le compartiment disparaît de la liste de l’analyseur d’accès IAM pour S3. Si vous souhaitez passer en revue les compartiments résolus, ouvrez l’analyseur d’accès IAM dans la console IAM.

Vérification et modification de l’accès à un compartiment

Si vous n’aviez pas l’intention d’accorder l’accès aux comptes publics ou à d’autres Comptes AWS, notamment les comptes extérieurs à votre entreprise, vous pouvez modifier la liste de contrôle d’accès (ACL) du compartiment, la politique du compartiment ou la politique de point d’accès pour supprimer l’accès au compartiment. La colonne Shared through (Partagé via) affiche toutes les sources d’accès au compartiment : stratégie de compartiment, ACL de compartiment et/ou politique de point d’accès. Les points d’accès multi-régions et les points d’accès intercompte figurent sous la rubrique points d’accès.

Pour consulter et modifier une stratégie de compartiment, une liste ACL de compartiment ou une politique de point d’accès

  1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Access Analyzer for S3 (Analyseur d’accès pour S3).

  3. Pour déterminer si l’accès public ou l’accès partagé est accordé via une stratégie de compartiment, une liste de contrôle d’accès de compartiment ou une politique de point d’accès, consultez la colonne Shared through (Partagé via).

  4. Sous Buckets (Compartiments), choisissez le nom du compartiment avec la stratégie de compartiment, la liste ACL de compartiment, la politique de point d’accès multi-Régions ou la politique de point d’accès que vous souhaitez modifier ou vérifier.

  5. Si vous souhaitez modifier ou consulter la liste ACL d’un compartiment :

    1. Choisissez Permissions.

    2. Choisissez Access Control List.

    3. Consultez la liste ACL de votre compartiment et apportez les modifications nécessaires.

      Pour plus d’informations, consultez Configuration des listes ACL.

  6. Si vous souhaitez modifier ou vérifier une stratégie de compartiment :

    1. Choisissez Permissions.

    2. Choisissez Stratégie de compartiment.

    3. Vérifiez ou modifiez votre stratégie de compartiment selon vos besoins.

      Pour plus d’informations, consultez Ajout d’une stratégie de compartiment à l’aide de la console Amazon S3.

  7. Si vous souhaitez consulter ou modifier une politique de point d’accès :

    1. Choisissez Point d’accès multi-Régions.

    2. Choisissez le nom du point d’accès multi-Régions.

    3. Vérifiez ou modifiez votre politique de point d’accès multi-Régions selon vos besoins.

      Pour plus d’informations, consultez Autorisations.

  8. Si vous souhaitez consulter ou modifier une politique de point d’accès :

    1. Choisissez Points d’accès pour compartiments à usage général ou Points d’accès pour les compartiments de répertoires.

    2. Choisissez le nom du point d’accès.

    3. Vérifiez ou modifiez l’accès en fonction de vos besoins.

      Pour plus d’informations, consultez Gestion des points d’accès Amazon S3 de vos compartiments à usage général.

    Si vous modifiez ou supprimez une liste ACL de compartiment, une stratégie de compartiment ou une politique de point d’accès pour supprimer l’accès public ou partagé, le statut du compartiment devient « résolu ». Les résultats de compartiment résolus disparaissent de la liste de l’analyseur d’accès IAM pour S3, mais vous pouvez les afficher dans l’analyseur d’accès IAM.

Archivage des résultats de compartiment

Si un compartiment accorde l’accès aux comptes publics ou à d’autres Comptes AWS, y compris des comptes extérieurs à votre organisation, pour prendre en charge un cas d’utilisation spécifique (par exemple, un site web statique, des téléchargements publics ou un partage entre comptes), vous pouvez archiver le résultat pour le compartiment. Lorsque vous archivez les résultats d’un compartiment, vous confirmez et enregistrez votre intention de le garder public ou partagé. Les résultats de compartiment archivés restent dans votre liste de l’analyseur d’accès IAM pour S3 pour que vous sachiez toujours quels compartiments sont publics ou partagés.

Pour archiver les résultats de compartiment dans l’analyseur d’accès IAM pour S3

  1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Analyseur d’accès IAM pour S3.

  3. Dans l’analyseur d’accès IAM pour S3, choisissez un compartiment actif.

  4. Pour confirmer votre intention d’autoriser le public ou d’autres Comptes AWS (y compris des comptes extérieurs à votre organisation) à accéder à ce compartiment, choisissez Archive (Archiver).

  5. Entrez confirm, puis choisissez Archive (Archiver).

Activation d’un résultat de compartiment archivé

Après avoir archivé des résultats, vous pouvez toujours les revoir et faire passer leur statut à « actif », ce qui indique que le compartiment nécessite une autre vérification.

Pour activer un résultat de compartiment archivé dans l’analyseur d’accès IAM pour S3

  1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Access Analyzer for S3 (Analyseur d’accès pour S3).

  3. Choisissez les résultats de compartiment archivés.

  4. Choisissez Mark as active (Marquer comme actif).

Affichage des détails de résultats

Si vous avez besoin de plus d’informations sur un résultat, vous pouvez ouvrir les détails de ce dernier dans l’analyseur d’accès IAM de la console IAM.

Pour afficher les détails des résultats dans l’analyseur d’accès IAM pour S3

  1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Access Analyzer for S3 (Analyseur d’accès pour S3).

  3. Dans l’analyseur d’accès IAM pour S3, choisissez un compartiment.

  4. Choisissez Afficher les détails.

    Les détails de résultats s’ouvrent dans l’analyseur d’accès IAM de la console IAM.

Téléchargement d’un rapport de l’analyseur d’accès IAM pour S3

Vous pouvez télécharger vos résultats de compartiment sous la forme d’un rapport CSV que vous pouvez utiliser à des fins d’audit. Ce rapport inclut les mêmes informations que celles que vous voyez dans l’analyseur d’accès IAM pour S3 dans la console Amazon S3.

Pour télécharger un rapport

  1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation de gauche, choisissez Access Analyzer for S3 (Analyseur d’accès pour S3).

  3. Dans le filtre de Région, sélectionnez la Région.

    L’analyseur d’accès IAM pour S3 est mis à jour pour afficher les compartiments pour la région choisie.

  4. Choisissez Download report (Télécharger le rapport).

    Un rapport CSV est généré et enregistré sur votre ordinateur.