Trusted Advisors中的S3检查有多广?

0

【以下的问题经过翻译处理】 阅读有关 AWS S3 Block Public Access 的文档,我看到有四种方法可以允许对 S3 进行公共访问:

  • 访问控制列表 (ACL), *接入点政策(Endpoint Policy),
  • 存储桶策略(Bucket Policy),或
  • 全部。

问题是:

  1. AWS Trusted Advisor 是否检查所有这些方法的 S3 权限?
  2. 如果这四种方式有冲突,AWS Trusted Advisor 会报告冲突吗?例如,我在网上读到 AWS Trusted Advisor 不会捕获覆盖 ACL 的存储桶策略。还有其他它没有捕捉到的场景吗?
  3. 当 CORS 允许使用 AllowedMethod 元素打开 S3 存储桶时,AWS Trusted Advisor 会捕获吗?
profile picture
专家
已提问 10 个月前53 查看次数
1 回答
0

【以下的回答经过翻译处理】 1. Trusted Advisor会检查ACL,其中允许公共列表和公共上传/删除权限,并检查授权公共访问的规则,但不会检查访问点策略。 2. 它会检查ACL和Bucket Policy,如果这两个允许任何公共访问,就会被标记。如果存在冲突(即阻止和允许),它仍会报告允许的权限(至少根据我的测试)! 3. 不,TA仅检查ACL和/或策略。

如果客户想要防止公共访问存储桶,建议使用存储桶上的“阻止公共访问”选项。

警报标准在Trusted Advisor控制台中详细说明,这些是它执行的特定检查: 黄色:存储桶ACL允许“每个人”或“任何已验证的AWS用户”进行列表访问。 黄色:存储桶策略允许任何类型的开放访问。 黄色:Bucket策略包含授权公共访问的声明。已打开“阻止具有公共策略的存储桶的公共和跨账户访问”设置,直到删除公共声明并将访问权限限制为该帐户的授权用户为止。 黄色:Trusted Advisor没有权限检查该策略,或该策略由于其他原因无法评估。 红色:存储桶ACL允许“每个人”或“任何已验证的AWS用户”进行上传/删除访问。

profile picture
专家
已回答 10 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则