Revisione dell’accesso esterno con il riepilogo degli accessi esterni Informazioni fornite dallo strumento di analisi degli accessi IAM per S3 Blocco di tutti gli accessi pubblici Revisione e modifica dell'accesso al bucket Archiviazione dei risultati del bucket Attivazione di un risultato di bucket archiviato Visualizzazione dei dettagli del risultato Download di un report IAM Access Analyzer per S3

Revisione dell'accesso al bucket tramite IAM Access Analyzer per S3

Lo strumento di analisi degli accessi IAM per S3 fornisce gli esiti di accesso esterno per i bucket S3 per uso generico, configurati per consentire l’accesso a chiunque su Internet (pubblico) o ad altri Account AWS, inclusi gli Account AWS esterni all’organizzazione. Per ogni bucket condiviso pubblicamente o con altri Account AWS, riceverai gli esiti sull’origine fonte e sul livello di accesso condiviso. Ad esempio, IAM Access Analyzer per S3 potrebbe mostrare che un bucket dispone di accesso in lettura o scrittura fornito tramite una lista di controllo degli accessi (ACL) del bucket, una policy del bucket, una policy del punto di accesso multi-regione o una policy del punto di accesso. Con questi risultati puoi intraprendere azioni correttive immediate e precise per ripristinare l'accesso del bucket desiderato.

La console Amazon S3 presenta un riepilogo degli accessi esterni nella console S3 accanto all’elenco dei bucket per uso generico. Nel riepilogo, è possibile fare clic sugli esiti attivi di ciascuna Regione AWS per visualizzarne i dettagli dell’esito nella pagina Strumento di analisi degli accessi IAM per S3. Gli esiti degli accessi esterni nel riepilogo degli accessi esterni vengono aggiornati automaticamente ogni 24 ore.

Quando si esamina un bucket che consente l’accesso pubblico, nella pagina Strumento di analisi degli accessi IAM per S3 è possibile bloccare tutti gli accessi pubblici al bucket con un solo clic. È consigliabile bloccare l’accesso pubblico ai bucket, a meno che non sia necessario per supportare un caso d’uso specifico. Prima di bloccare tutti gli accessi pubblici, assicurati che le applicazioni continuino a funzionare correttamente senza accesso pubblico. Per ulteriori informazioni, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

Inoltre, puoi eseguire il drill-down nelle impostazioni relative alle autorizzazioni a livello di bucket per configurare i livelli di accesso granulari. Per casi d'uso specifici e verificati che richiedono l'accesso pubblico, ad esempio host di siti Web, download pubblici, condivisione tra account, puoi confermare e registrare l'intenzione del bucket di rimanere pubblico o condiviso archiviando i risultati per il bucket. Puoi consultare e modificare le configurazioni relative al bucket in qualsiasi momento. È inoltre possibile scaricare i risultati in un report CSV per scopi di verifica.

IAM Access Analyzer per S3 è disponibile senza costi aggiuntivi nella console di Amazon S3. IAM Access Analyzer per S3 è basato su AWS Identity and Access Management (IAM) IAM Access Analyzer. Per utilizzare lo strumento di analisi degli accessi IAM per S3 nella console Amazon S3, è necessario accedere alla console IAM e abilitare lo strumento di analisi degli accessi IAM su base regionale.

Per ulteriori informazioni su IAM Access Analyzer, consulta Cos'è IAM Access Analyzer? nella Guida all'utente IAM. Per ulteriori informazioni su IAM Access Analyzer per S3, rivedi le sezioni seguenti.

Importante

Lo strumento di analisi degli accessi IAM per S3 richiede un analizzatore a livello di account in ogni Regione AWS in cui sono presenti i bucket. Per utilizzare IAM Access Analyzer per S3, è necessario visitare IAM Access Analyzer e creare un analizzatore che abbia un account come zona di attendibilità. Per ulteriori informazioni, consultare Abilitazione di IAM Access Analyzer nella Guida per l'utente di IAM.
IAM Access Analyzer per S3 non analizza la policy dei punti di accesso associata ai punti di accesso multi-account. Questo comportamento si verifica perché il punto di accesso e la relativa policy sono al di fuori della zona di attendibilità, ovvero l'account. I bucket che delegano l'accesso a un punto di accesso multi-account sono elencati in Buckets with public access (Bucket con accesso pubblico) se non hai applicato l'impostazione RestrictPublicBuckets di Blocco dell'accesso pubblico Amazon S3 al bucket o all'account. Quando applichi l’impostazione di blocco dell’accesso pubblico RestrictPublicBuckets, il bucket viene elencato in Bucket con accesso da altri Account AWS, inclusi Account AWS di terze parti.
Quando una policy del bucket o un'ACL bucket viene aggiunta o modificata, IAM Access Analyzer genera e aggiorna i risultati in base alla modifica entro 30 minuti. I risultati relativi alle impostazioni di Blocco dell'accesso pubblico Amazon S3 a livello di account potrebbero non essere generati o aggiornati per un massimo di 6 ore dopo la modifica delle impostazioni. I risultati relativi ai punti di accesso multi-regione potrebbero non essere generati o aggiornati per un massimo di sei ore dopo la creazione o l'eliminazione del punto di accesso multi-regione o della modifica della policy.

Argomenti

Revisione del riepilogo globale delle policy che forniscono l’accesso esterno ai bucket
Informazioni fornite dallo strumento di analisi degli accessi IAM per S3
Blocco di tutti gli accessi pubblici
Revisione e modifica dell'accesso al bucket
Archiviazione dei risultati del bucket
Attivazione di un risultato di bucket archiviato
Visualizzazione dei dettagli del risultato
Download di un report IAM Access Analyzer per S3

Revisione del riepilogo globale delle policy che forniscono l’accesso esterno ai bucket

È possibile utilizzare il riepilogo degli accessi esterni per visualizzare un riepilogo globale delle policy che forniscono l’accesso esterno ai bucket dell’Account AWS direttamente dalla console S3. Questo riepilogo consente di individuare in qualsiasi Regione AWS i bucket per uso generico Amazon S3 che permettono l’accesso pubblico o da altri Account AWS senza dover controllare le policy di ogni singola Regione AWS.

Abilitazione del riepilogo degli accessi esterni e dello strumento di analisi degli accessi IAM per S3

Per utilizzare il riepilogo degli accessi esterni e lo strumento di analisi degli accessi IAM per S3, è necessario completare le seguenti fasi.

Concedere le autorizzazioni richieste. Per ulteriori informazioni, consultare Autorizzazioni necessarie per utilizzare IAM Access Analyzer nella Guida per l'utente di IAM.
Visita IAM per creare un analizzatore a livello di account per ogni regione in cui desideri utilizzare IAM Access Analyzer.

A tale scopo, si crea un analizzatore con un account come zona di attendibilità nella console IAM o utilizzando AWS CLI o gli AWS SDK. Per ulteriori informazioni, consultare Abilitazione di IAM Access Analyzer nella Guida per l'utente di IAM.

Visualizzazione dei bucket che consentono l’accesso esterno

Il riepilogo degli accessi esterni mostra gli esiti e gli errori relativi all’accesso esterno forniti dallo strumento di analisi degli accessi IAM per S3 per i bucket per uso generico. Gli esiti archiviati e quelli relativi agli accessi non utilizzati non sono inclusi nel riepilogo, ma possono essere visualizzati nella console IAM o nello strumenti di analisi degli accessi IAM per S3. Per ulteriori informazioni, consulta Visualizza la dashboard degli esiti dello strumenti di analisi degli accessi IAM nella Guida per l’utente IAM.

Nota

Il riepilogo degli accessi esterni include solo gli esiti degli analizzatori di accesso esterno per ciascuno degli Account AWS, non per l’organizzazione AWS.

Apri la console di Amazon S3 su https://console.aws.amazon.com/s3/.
Nel pannello di navigazione a sinistra, scegli Bucket per uso generico.
Espandi il riepilogo degli accessi esterni. La console visualizza gli esiti degli accessi multi-account e pubblici attivi.

Nota
Se S3 riscontra un problema durante il caricamento dei dettagli dei bucket, aggiorna l’elenco dei bucket per uso generico o visualizza gli esiti nello strumento di analisi degli accessi IAM per S3. Per ulteriori informazioni, consulta Revisione dell'accesso al bucket tramite IAM Access Analyzer per S3.
Per visualizzare un elenco di esiti o errori relativi a una Regione AWS, scegli il link della Regione. La pagina Strumento di analisi degli accessi IAM per S3 mostra i nomi dei bucket a cui è possibile accedere pubblicamente o da altri Account AWS. Per ulteriori informazioni, consulta Informazioni fornite dallo strumento di analisi degli accessi IAM per S3.

Aggiornamento dei controlli degli accessi per i bucket che consentono l’accesso esterno

Apri la console di Amazon S3 su https://console.aws.amazon.com/s3/.
Nel pannello di navigazione a sinistra, scegli Bucket per uso generico.
Espandi il riepilogo degli accessi esterni. La console mostra gli esiti attivi per i bucket a cui è possibile accedere pubblicamente o da altri Account AWS.

Nota
Se S3 riscontra un problema durante il caricamento dei dettagli dei bucket, aggiorna l’elenco dei bucket per uso generico o visualizza gli esiti nello strumento di analisi degli accessi IAM per S3. Per ulteriori informazioni, consulta Revisione dell'accesso al bucket tramite IAM Access Analyzer per S3.
Per visualizzare un elenco di esiti o errori relativi a una Regione AWS, scegli il link della Regione. Lo strumento di analisi degli accessi IAM per S3 mostra gli esiti attivi per i bucket a cui è possibile accedere pubblicamente o da altri Account AWS.

Nota
Gli esiti degli accessi esterni nel riepilogo degli accessi esterni vengono aggiornati automaticamente ogni 24 ore.
Per bloccare tutti gli accessi pubblici a un bucket, consulta Blocco di tutti gli accessi pubblici. Per modificare l’accesso al bucket, consulta Revisione e modifica dell'accesso al bucket.

Informazioni fornite dallo strumento di analisi degli accessi IAM per S3

IAM Access Analyzer per S3 fornisce risultati per i bucket a cui è possibile accedere al di fuori di Account AWS. I bucket elencati in Esiti degli accessi pubblici sono accessibili da chiunque su Internet. Se IAM Access Analyzer per S3 identifica i bucket pubblici, nella parte superiore della pagina viene visualizzato un avviso che indica il numero di bucket pubblici nella regione. I bucket elencati in Esiti degli accessi multi-account vengono condivisi in modo condizionale con altri Account AWS, inclusi gli account esterni all’organizzazione.

Per ogni bucket, IAM Access Analyzer for S3 fornisce le seguenti informazioni:

Nome bucket
Condiviso tramite: come il bucket viene condiviso, ovvero tramite una policy di bucket, una ACL di bucket, una policy del punto di accesso multi-regione o una policy del punto di accesso. I punti di accesso multiregionali e i punti di accesso multi-account sono riportati sotto i punti di accesso. Un bucket può essere condiviso tramite policy e ACL. Per trovare e rivedere l'origine dell'accesso al bucket, puoi utilizzare le informazioni contenute in questa colonna come punto di partenza per intraprendere azioni correttive immediate e precise.
Status (Stato) - Lo stato del rilevamento del bucket. IAM Access Analyzer per S3 visualizza i risultati per tutti i bucket pubblici e condivisi.
- Active (Attivo)- Il risultato non è stato esaminato.
- Archived (Archiviato) - Il risultato è stato esaminato e confermato come previsto.
- Tutti: tutti i risultati per i bucket pubblici o condivisi con altri Account AWS, inclusi gli Account AWS esterni all'organizzazione.
Access level (Livello di accesso) - Autorizzazioni di accesso concesse per il bucket:
- List (Elenco) - Elencare le risorse.
- Read (Lettura) - Leggere ma non modificare gli attributi e i contenuti delle risorse.
- Write (Scrittura) - Creare, eliminare o modificare le risorse.
- Permissions (Autorizzazioni) - Concedere o modificare le autorizzazioni a livello di risorsa.
- Tagging (Tag) - Aggiornare i tag associati alla risorsa.
Principale esterno ‐ L’Account AWS esterno dell’organizzazione con accesso al bucket.
Restrizione della policy di controllo delle risorse (RCP) ‐ La policy di controllo delle risorse (RCP) collegata al bucket, se applicabile. Per ulteriori informazioni, consulta Policy di controllo delle risorse (RCP).

Blocco di tutti gli accessi pubblici

Per bloccare tutti gli accessi a un bucket con un solo clic, puoi utilizzare il pulsante Blocca tutti gli accessi pubblici in IAM Access Analyzer per S3. Quando blocchi tutti gli accessi pubblici a un bucket, non viene concesso alcun accesso pubblico. Ti consigliamo di bloccare tutti gli accessi pubblici ai bucket, a meno che non sia necessario l'accesso pubblico per supportare un caso d'uso specifico e verificato. Prima di bloccare tutti gli accessi pubblici, assicurati che le applicazioni continuino a funzionare correttamente senza accesso pubblico.

Se non desideri bloccare tutti gli accessi pubblici al bucket, puoi modificare le impostazioni di blocco dell'accesso pubblico sulla console di Amazon S3 per configurare livelli granulari di accesso ai bucket. Per ulteriori informazioni, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

In rari casi, la valutazione dello strumento di analisi degli accessi IAM per S3 e del blocco dell’accesso pubblico Amazon S3 potrebbe differire a seconda che un bucket sia pubblico o meno. Questo comportamento si verifica perché il blocco dell’accesso pubblico Amazon S3 esegue la convalida dell’esistenza delle azioni oltre a valutare l’accesso pubblico. Supponi che la policy di bucket contenga un’istruzione Action che consenta l’accesso pubblico a un’azione non supportata da Amazon S3 (ad esempio, s3:NotASupportedAction). In questo caso, il blocco dell’accesso pubblico Amazon S3 valuta il bucket come pubblico perché una tale istruzione potrebbe potenzialmente renderlo pubblico se l’azione verrà successivamente supportata. Nei casi in cui il blocco dell’accesso pubblico Amazon S3 e lo strumento di analisi degli accessi AWS IAM per S3 differiscono nelle rispettive valutazioni, è consigliabile esaminare la policy di bucket e rimuovere eventuali azioni non supportate.

Per bloccare tutti gli accessi pubblici a un bucket utilizzando IAM Access Analyzer per S3

Accedi alla Console di gestione AWS e apri la console Amazon S3 all’indirizzo https://console.aws.amazon.com/s3/.
Nel riquadro di navigazione a sinistra, in Dashboards (Pannelli di controllo), scegliere Access analyzer for S3 (Access Analyzer per S3).
In IAM Access Analyzer per S3, scegli un bucket.
Scegliere Block all public access (Blocca tutti gli accessi pubblici).
Per confermare l'intenzione di bloccare tutti gli accessi pubblici al bucket, in Block all public access (bucket settings) (Blocca tutti gli accessi pubblici (impostazioni bucket)), immettere confirm.

Amazon S3 blocca tutti gli accessi pubblici al bucket. Lo stato del risultato del bucket viene aggiornato in risolto e il bucket scompare dall'elenco di IAM Access Analyzer per S3. Se si desidera esaminare i bucket risolti, aprire IAM Access Analyzer nella console IAM.

Revisione e modifica dell'accesso al bucket

Se non intendevi concedere l'accesso agli Account AWS pubblici o di altro tipo, inclusi gli account esterni all'organizzazione, per rimuovere l'accesso al bucket puoi modificare l'ACL di bucket, la policy di bucket, la policy del punto di accesso multi-regione o la policy del punto di accesso. La colonna Shared through (Condiviso tramite) mostra tutte le origini dell'accesso al bucket: policy di bucket, ACL di bucket e/o policy del punto di accesso. I punti di accesso multi-regione e i punti di accesso multi-account sono riportati sotto i punti di accesso.

Per esaminare e modificare una policy di bucket, una ACL, una policy del punto di accesso multi-regione o del punto di accesso di un bucket

Apri la console di Amazon S3 su https://console.aws.amazon.com/s3/.
Nel riquadro di navigazione scegliere Access analyzer for S3 (Access Analyzer per S3).
Per verificare se l'accesso pubblico o l'accesso condiviso è concesso tramite una policy di bucket, una ACL di bucket, una policy del punto di accesso multi-regione o una policy del punto di accesso, cerca nella colonna Shared through (Condiviso tramite).
In Buckets (Bucket) scegli il nome del bucket con la policy di bucket, l'ACL di bucket, la policy del punto di accesso multi-regione o la policy del punto di accesso che desideri modificare o esaminare.
Se si desidera modificare o visualizzare una ACL di bucket:
1. Seleziona Autorizzazioni.
2. Scegliere Access Control List (Lista di controllo accessi).
3. Esaminare l'ACL di bucket e apportare le modifiche necessarie.
  
  Per ulteriori informazioni, consulta Configurazione delle ACL.
Se si desidera modificare o rivedere una policy di bucket:
1. Seleziona Autorizzazioni.
2. Scegli Bucket Policy (Policy del bucket).
3. Esaminare o modificare la policy di bucket come richiesto.
  
  Per ulteriori informazioni, consulta Aggiunta di una policy di bucket utilizzando la console di Amazon S3.
Se desideri esaminare o modificare una policy del punto di accesso multi-regione:
1. Scegli Multi-Region Access Point (Punto di accesso multi-regione).
2. Scegli il nome del punto di accesso multi-regione.
3. Esamina o modifica la policy del punto di accesso multi-regione come necessario.
  
  Per ulteriori informazioni, consulta Autorizzazioni.
Se si desidera rivedere o modificare una policy del punto di accesso:
1. Scegli Punti di accesso per bucket per uso generico o Punti di accesso per bucket di directory.
2. Scegliere il nome del punto di accesso.
3. Esaminare o modificare l'accesso in base alle esigenze.
  
  Per ulteriori informazioni, consulta Gestione dei punti di accesso Amazon S3 per bucket per uso generico.
Se si modifica o si rimuove una ACL di bucket, una policy di bucket o una policy del punto di accesso per rimuovere l'accesso pubblico o condiviso, lo stato dei risultati del bucket viene aggiornato in resolved (risolto). I risultati dei bucket risolti scompaiono dall'elenco di IAM Access Analyzer for S3, ma è possibile visualizzarli in IAM Access Analyzer.

Archiviazione dei risultati del bucket

Se un bucket concede l'accesso agli account pubblici o ad altri Account AWS, inclusi gli account esterni all'organizzazione, per supportare un caso d'uso specifico (ad esempio un sito Web statico, i download pubblici o la condivisione tra account), puoi archiviare il risultato per il bucket. Quando archivi i risultati del bucket, confermi e registri l'intenzione che il bucket rimanga pubblico o condiviso. I risultati del bucket archiviati rimangono nell'elenco di IAM Access Analyzer per S3 in modo da sapere sempre quali bucket sono pubblici o condivisi.

Per archiviare i risultati del bucket in IAM Access Analyzer per S3

Apri la console di Amazon S3 su https://console.aws.amazon.com/s3/.
Nel riquadro di navigazione scegli Analizzatore di accesso IAM per S3.
In IAM Access Analyzer per S3, scegli un bucket attivo.
Per confermare l'intenzione di concedere l'accesso a questo bucket per gli account pubblici o di altri Account AWS, inclusi gli account esterni all'organizzazione, scegli Archivia.
Immettere confirm e scegliere Archive (Archivia).

Attivazione di un risultato di bucket archiviato

Dopo aver archiviato i risultati, è sempre possibile esaminarli e modificarne lo stato attivo, indicando che il bucket richiede un'altra revisione.

Per attivare un risultato di bucket archiviato in IAM Access Analyzer per S3

Apri la console di Amazon S3 su https://console.aws.amazon.com/s3/.
Nel riquadro di navigazione scegliere Access analyzer for S3 (Access Analyzer per S3).
Scegliere i risultati del bucket archiviati.
Scegliere Mark as active (Contrassegna come attivo).

Visualizzazione dei dettagli del risultato

Se è necessario visualizzare ulteriori informazioni su un esito, è possibile aprire i dettagli dell’esito del bucket nello strumento di analisi degli accessi IAM sulla console IAM.

Per visualizzare i dettagli dei risultati in IAM Access Analyzer per S3

Apri la console di Amazon S3 su https://console.aws.amazon.com/s3/.
Nel riquadro di navigazione scegliere Access analyzer for S3 (Access Analyzer per S3).
In IAM Access Analyzer per S3, scegli un bucket.
Seleziona View Details (Visualizza dettagli).

I dettagli della ricerca si aprono in IAM Access Analyzer sulla console IAM.

Download di un report IAM Access Analyzer per S3

Puoi scaricare i risultati del bucket come report CSV che è possibile utilizzare per scopi di audit. Il report include le stesse informazioni visualizzate in IAM Access Analyzer per S3 sulla console di Amazon S3.

Per scaricare un report

Apri la console di Amazon S3 su https://console.aws.amazon.com/s3/.
Nel riquadro di navigazione a sinistra scegliere Access analyzer for S3 (Access Analyzer per S3).
Nel filtro Region (Regione) scegliere Region (Regione).

IAM Access Analyzer per S3 viene aggiornato per mostrare i bucket per la regione scelta.
Scegliere Download report (Scarica report).

Un report CSV viene generato e salvato sul computer.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione delle impostazioni del bucket e dei punti di accesso

Verifica della proprietà del bucket