Surveiller, examiner et protéger les buckets Amazon S3 à l’aide d’Access Analyzer

Chez AWS, la sécurité est plus qu’une simple fonctionnalité – c’est un état d’esprit. Le 2 décembre 2019, nous avons annoncé Access Analyzer pour Amazon S3, une nouvelle fonctionnalité qui surveille vos stratégies d’accès aux buckets/compartiments Amazon S3 afin que vous n’ayez pas à le faire. Par défaut, tous les buckets et objets créés dans S3 sont privés. AWS offre des mécanismes comme les listes de contrôle d’accès (ACL) et les stratégies de compartiment (“bucket strategy”) pour configurer des niveaux d’accès très fins. Access Analyzer pour Amazon S3 est une nouvelle fonctionnalité qui analyse et surveille vos stratégies d’accès, vous permettant de vérifier que les stratégies fournissent uniquement l’accès prévu à vos ressources S3. Access Analyzer pour Amazon S3 vous permet de découvrir automatiquement et de corriger rapidement les buckets présentant un accès potentiellement indésirable.

Au fur et à mesure que votre organisation et votre déploiement augmentent, Access Analyzer pour Amazon S3 évaluera toutes vos stratégies pour vous alerter des buckets/buckets partagés en dehors de votre compte AWS et présentant un risque d’accès indésirable. Dans cet article, nous allons voir comment activer Access Analyzer pour Amazon S3, et discuter des cas où l’utilisation de cette fonctionnalité pourrait être bénéfique pour votre organisation afin de vous assurer que l’accès à vos buckets S3 est bien celui que vous aviez prévu, et pas plus.

Lors de l’examen des résultats qui montrent un accès potentiellement partagé à un bucket, vous pouvez bloquer tout accès public au compartiment en un seul clic dans la console Amazon S3, configurer si nécessaire des autorisations plus fines, ou pour des cas d’utilisation spécifiques et contrôlés qui nécessitent un accès public, comme l’hébergement d’un site web statique, vous pouvez accuser réception et archiver les résultats d’analyse d’un bucket pour enregistrer votre intention de maintenir le bucket public ou partagé. Vous pouvez revoir et modifier ces configurations de buckets à tout moment. À des fins d’audit, les résultats des analyses Access Analyzer pour Amazon S3 peuvent être téléchargés sous forme de rapport CSV.

Avant de commencer dans la console de gestion Amazon S3, consultez la console AWS IAM pour activer l’AWS Identity and Access Management (IAM) Access Analyzer. Cela fait, Access Analyzer pour Amazon S3 sera automatiquement visible dans la console de gestion Amazon S3. Access Analyzer pour Amazon S3 est basé sur l’IAM Access Analyzer qui a été lancé à re:Invent 2019.

Dans la console de gestion Amazon S3, sous Access Analyzer pour Amazon S3, vous verrez deux ensembles de buckets – ceux qui sont partagés publiquement et ceux qui sont partagés avec d’autres comptes AWS, y compris les comptes AWS externes à votre organisation. Les buckets partagés publiquement sont accessibles à tous sur Internet. Vous obtiendrez également des informations sur la source de l’accès partagé – liste de contrôle d’accès, stratégie de buckeet, ou même les deux – et sur le type d’accès partagé – lecture, écriture, liste, autorisations, etc. Les buckets qui requièrent votre attention ont un statut Actif. Vous pouvez rapidement remédier à un accès potentiellement indésirable aux buckets de trois façons simples.

Tout d’abord, vous pouvez sélectionner un bucket public et cliquer sur le bouton par défaut « Bloquer tous les accès publics » dans la console de Access Analyzer pour Amazon S3. Cette action fermera immédiatement l’accès public au bucket. Nous vous recommandons de bloquer tout accès public à vos buckets.

Ensuite, vous pouvez cliquer sur le nom du bucket dans la liste, ce qui vous amènera à la page des autorisations pour ce bucket dans la console Amazon S3. De là, vous pouvez inspecter la liste de contrôle d’accès ou la stratégie d’accès qui autorise l’accès public et apporter les modifications nécessaires.

Si vous avez un cas d’utilisation spécifique qui nécessite un accès public, par exemple, l’hébergement d’un site web statique ou le partage de ressources entre comptes AWS, vous pouvez archiver un résultat d’analyse de bucket en reconnaissant que vous avez l’intention de maintenir l’accès tel quel. Les buckets dont les résultats sont archivés continueront d’apparaître dans la page de console de Access Analyzer pour Amazon S3, de sorte que vous sachiez toujours quels buckets sont partagés. Si vos besoins d’accès changent, ou même si vous avez accidentellement archivé un résultat, vous pouvez toujours revoir ces buckets et les reconfigurer en suivant les étapes décrites ci-dessus. Vous pouvez également télécharger un rapport CSV à partir de la console Amazon S3 pour suivre et vérifier les changements apportés à vos accès au fil du temps.

Une fois activé, vous commencerez à voir les résultats et les informations concernant vos buckets dans la console de gestion Amazon S3.

Article original contribué par Shasya Sharma et adapté en français par Jérome Gras, Solutions Architect dans les équipes AWS France.