Trusted Advisors中的S3检查有多广?
0
【以下的问题经过翻译处理】 阅读有关 AWS S3 Block Public Access 的文档,我看到有四种方法可以允许对 S3 进行公共访问:
- 访问控制列表 (ACL), *接入点政策(Endpoint Policy),
- 存储桶策略(Bucket Policy),或
- 全部。
问题是:
- AWS Trusted Advisor 是否检查所有这些方法的 S3 权限?
- 如果这四种方式有冲突,AWS Trusted Advisor 会报告冲突吗?例如,我在网上读到 AWS Trusted Advisor 不会捕获覆盖 ACL 的存储桶策略。还有其他它没有捕捉到的场景吗?
- 当 CORS 允许使用 AllowedMethod 元素打开 S3 存储桶时,AWS Trusted Advisor 会捕获吗?
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 1. Trusted Advisor会检查ACL,其中允许公共列表和公共上传/删除权限,并检查授权公共访问的规则,但不会检查访问点策略。 2. 它会检查ACL和Bucket Policy,如果这两个允许任何公共访问,就会被标记。如果存在冲突(即阻止和允许),它仍会报告允许的权限(至少根据我的测试)! 3. 不,TA仅检查ACL和/或策略。
如果客户想要防止公共访问存储桶,建议使用存储桶上的“阻止公共访问”选项。
警报标准在Trusted Advisor控制台中详细说明,这些是它执行的特定检查: 黄色:存储桶ACL允许“每个人”或“任何已验证的AWS用户”进行列表访问。 黄色:存储桶策略允许任何类型的开放访问。 黄色:Bucket策略包含授权公共访问的声明。已打开“阻止具有公共策略的存储桶的公共和跨账户访问”设置,直到删除公共声明并将访问权限限制为该帐户的授权用户为止。 黄色:Trusted Advisor没有权限检查该策略,或该策略由于其他原因无法评估。 红色:存储桶ACL允许“每个人”或“任何已验证的AWS用户”进行上传/删除访问。
相关内容
AWS 官方已更新 2 年前- AWS 官方已更新 4 年前
- AWS 官方已更新 4 年前
