Ioannis 可帮助您
使用 AWS Config 保护
您的 S3 存储桶

Ioannis_DUB_0518

我想知道哪些 Amazon Simple Storage Service (S3) 存储桶可以通过 Internet 公开访问。该怎样做?

要检查 S3 存储桶是否可公开访问,可以在 Amazon S3 控制台中使用存储桶权限检查,也可以使用 AWS Trusted Advisor Amazon S3 存储桶权限检查

如果您的 AWS 账户中有大量 S3 存储桶,则可以使用 AWS Config 快速识别哪些存储桶允许公开读取或写入访问。此外,您可以设置 AWS Config,以便在初始审核之后,任何 S3 存储桶可公开访问时通知您。

要创建标记哪些 S3 存储桶可公开访问的 AWS Config 规则,请按照以下步骤操作:

注意:务必先在您的 AWS 账户上设置 AWS Config,然后才能使用 AWS Config 分析 S3 存储桶。

  1. 打开 AWS Config 控制台,并将区域选择器设置为一个支持 AWS Config 规则的 AWS 区域
    注意:AWS Config 会在相应 AWS 区域中执行存储桶合规性检查。如果您在多个区域中拥有存储桶,请在每个区域中设置 AWS Config 规则。
  2. 在导航窗格中,选择 Rules
  3. 选择 + Add rule (+ 添加规则)
  4. 在搜索栏中,键入“s3-bucket-public-read-prohibited”。然后,选择 s3-bucket-public-read-prohibited rule (s3-bucket-public-read-prohibited 规则)。此规则会将允许公开读取权限的存储桶标记为不合规
  5. 选择 Save
  6. 选择 + Add rule (+ 添加规则)
  7. 在搜索栏中,键入“s3-bucket-public-write-prohibited”。然后,选择 s3-bucket-public-write-prohibited 规则。此规则会将允许公开写入权限的存储桶标记为不合规
  8. 选择 Save

AWS Config 可能需要几分钟时间,才能根据新规则完成对 S3 存储桶的评估。在完成 AWS Config 评估后,打开 Rules (规则) 页面(从 AWS Config 控制台)。然后,打开每条规则,查看哪些 S3 存储桶被标记为不合规 - 不合规的存储桶是允许从 Internet 进行公开写入或读取访问的存储桶。

要设置在 S3 存储桶变为不合规时(允许公开写入或读取访问)由 AWS Config 发送的通知,请参阅 AWS Config 发送的通知

有关设置 S3 存储桶权限的更多信息,请参阅设置存储桶和对象访问权限


此页内容对您是否有帮助? |

返回 AWS Support 知识中心

需要帮助? 请访问 AWS 支持中心

发布时间:2018 年 6 月 4 日