立即激活! 现在和将来阻止所有对您的 S3 数据的公有访问
将您的数据存储在 Amazon S3 中,并使用 S3 阻止公有访问保护数据不受未经授权的访问。Amazon S3 是唯一的对象存储服务,可使您现在和将来通过使用 S3 阻止公有访问在存储桶或账户级别阻止对您的所有对象进行公有访问。
为了确保屏蔽对您的所有 S3 存储桶和对象的公共访问权限,请开启屏蔽所有公共访问权限。只需在 S3 管理控制台中点击几下,您就可以将 S3 屏蔽公共访问权限应用到账户中的每一个存储桶(包括现有以及未来创建的任何新的存储桶),确保屏蔽对任何对象的公共访问权限。 默认情况下,所有新存储桶都启用了“S3 屏蔽公共访问权限”
S3 阻止公有访问
S3 阻止公有访问可在整个 AWS 账户或单个 S3 存储桶级别提供控制,以确保对象现在和将来都不会接受公有访问。
通过访问控制列表 (ACL) 和/或存储桶策略,可以允许对存储桶和对象进行公有访问。为了确保阻止对您的所有 S3 存储桶和对象的公有访问,请在账户级别开启阻止所有公有访问。这些设置适用于所有当前和未来存储桶的账户范围。
AWS 建议开启阻止所有公有访问,但在应用任何这些设置之前,请确保您的应用程序在没有公有访问的情况下正确运行。如果您需要对存储桶或对象进行某种级别的公有访问,则可以自定义以下各个设置,以适合您的特定存储使用案例。
默认情况下,所有新存储桶都启用了“屏蔽公共访问权限”。如果您要限制对账户中所有现有存储桶的访问权限,可以在账户级别启用“屏蔽公共访问权限”。S3 屏蔽公共访问权限设置优先于允许公共访问的 S3 权限,从而让账户管理员可以轻松设置集中控制,以防止安全性配置的变动,而不考虑对象的添加方式或存储桶的创建方式。
如果在启用 S3 阻止公有访问的情况下,将一个对象写入 AWS 账户或 S3 存储桶,并且该对象通过 ACL 或策略指定任何类型的公有权限,则这些公有权限将被阻止。
除 S3 控制台之外,您还可以通过 AWS CLI、SDK 或 REST API 来启用 S3 阻止公有访问。S3 屏蔽公共访问权限文档中提供了每个选项的详细说明。请记住,您始终可以在 S3 控制台中检查公有存储桶(我们在其中显著标记了包含具有公有权限的对象的存储桶),您还可以使用 AWS Trusted Advisor 的 S3 存储桶权限检查,在有任何打开的存储桶时通知您,而无需您付费。
工作原理
相关博客文章
AWS 新闻博客
S3 阻止公有访问 – 为账户和存储桶提供另一层保护
Amazon S3 阻止公有访问提供一个新的保护级别,作用于账户级和单个存储桶,包括将来创建的存储桶。您有能力阻止现有的公有访问(无论是 ACL 还是策略指定的),并且确保没有授予对新建项目的公有访问权限。
AWS 新闻博客
提醒:Amazon S3 安全更改将于 2023 年 4 月发布
从 2023 年 4 月开始,我们将对 Amazon S3 进行两项更改,以使我们最新的存储桶安全最佳实践自动生效。一旦更改对目标区域生效,该区域中所有新创建的存储桶都将默认启用 S3 阻止公共访问并禁用 ACL。
AWS 存储博客
了解如何使用 Amazon S3 阻止公有访问和 S3 对象锁定
S3 如此成功的原因之一是我们从一开始就专注于数据安全性。我们不断投资于提高存储安全性的标准,并与客户合作,共同满足不断增长的安全性需求,同时恪守保持存储简单的使命。
AWS 新闻博客
AWS Config 更新 – 用于保护 S3 存储桶安全的新托管规则
今天我们将添加两个新的托管规则,帮助您保护 S3 存储桶。您可以一键启用这些规则。两个新规则是:s3-bucket-public-write-prohibited 和 s3-bucket-public-read-prohibited。自动识别允许全局读写访问的存储桶。
