发布于: Dec 2, 2019

S3 访问分析器是一项新功能,可以监控您的访问策略,从而确保策略仅提供对 S3 资源的预期访问。S3 访问分析器可评估您的存储桶访问策略,并使您能够发现并快速修复具有潜在意外访问风险的存储桶。

当您有一个存储桶配置为允许访问互联网上的任何人访问或与其他 AWS 账户共享时,S3 访问分析器会向您发出警报。您可以获得有关公共或共享访问的来源和级别的见解或“结果”。例如,如果通过访问控制列表 (ACL) 或存储桶策略提供了读取或写入访问权限,则 S3 访问分析器会主动通知您。通过这些见解,您可以立即设置或还原预期的访问策略。

在查看显示对存储桶的潜在共享访问权限的结果时,只需单击 S3 管理控制台,即可阻止所有公共访问存储桶。您还可以向下钻取到存储桶级别权限设置,以配置精细访问。对于需要公共访问权限的经过验证的特定使用案例,例如静态网站托管,您可以确认并存档存储桶上的结果,以记录您希望存储桶保持公开或共享。您可以随时重新访问和修改这些存储桶配置。出于审核目的,可将 S3 访问分析器的结果下载为 CSV 报告。

要开始使用 S3 访问分析器,请访问 IAM 控制台以启用 AWS Identity and Access Management (IAM) 访问分析功能。当您这样做时,S3 访问分析器将自动显示在 S3 管理控制台中。

除 AWS 中国(北京)和 AWS 中国(宁夏)区域外,所有商业 AWS 区域的 S3 管理控制台中均免费提供 S3 访问分析器。还可以通过 AWS GovCloud(美国)区域的 API 使用 S3 访问分析器。

要了解更多信息,请阅读博客文章