Trusted Advisors中的S3检查有多广？

Question

【以下的问题经过翻译处理】 阅读有关 AWS S3 Block Public Access 的文档，我看到有四种方法可以允许对 S3 进行公共访问：

* 访问控制列表 (ACL)，
*接入点政策(Endpoint Policy)，
* 存储桶策略(Bucket Policy)，或
* 全部。

问题是：

1. AWS Trusted Advisor 是否检查所有这些方法的 S3 权限？
2. 如果这四种方式有冲突，AWS Trusted Advisor 会报告冲突吗？例如，我在网上读到 AWS Trusted Advisor 不会捕获覆盖 ACL 的存储桶策略。还有其他它没有捕捉到的场景吗？
3. 当 CORS 允许使用 AllowedMethod 元素打开 S3 存储桶时，AWS Trusted Advisor 会捕获吗？

Answer

【以下的回答经过翻译处理】 1. Trusted Advisor会检查ACL，其中允许公共列表和公共上传/删除权限，并检查授权公共访问的规则，但不会检查访问点策略。
2. 它会检查ACL和Bucket Policy，如果这两个允许任何公共访问，就会被标记。如果存在冲突（即阻止和允许），它仍会报告允许的权限（至少根据我的测试）！
3. 不，TA仅检查ACL和/或策略。

如果客户想要防止公共访问存储桶，建议使用存储桶上的“阻止公共访问”选项。

警报标准在Trusted Advisor控制台中详细说明，这些是它执行的特定检查：
黄色：存储桶ACL允许“每个人”或“任何已验证的AWS用户”进行列表访问。
黄色：存储桶策略允许任何类型的开放访问。
黄色：Bucket策略包含授权公共访问的声明。已打开“阻止具有公共策略的存储桶的公共和跨账户访问”设置，直到删除公共声明并将访问权限限制为该帐户的授权用户为止。
黄色：Trusted Advisor没有权限检查该策略，或该策略由于其他原因无法评估。
红色：存储桶ACL允许“每个人”或“任何已验证的AWS用户”进行上传/删除访问。

Trusted Advisors中的S3检查有多广？

関連するコンテンツ