Ioannis vous aide à sécuriser
vos compartiments S3
à l'aide d'AWS Config

Ioannis_DUB_0518

Je souhaiterais savoir lesquels de mes compartiments Amazon Simple Storage Service (S3) sont publiquement accessibles depuis Internet. Quelle est la marche à suivre ?

Pour vérifier si les compartiments S3 sont publiquement accessibles, vous pouvez utiliser la vérification des autorisations du compartiment dans la console Amazon S3, ou la vérification des autorisations du compartiment Amazon S3 d'AWS Trusted Advisor.

Si vous disposez d'un grand nombre de compartiments S3 dans votre compte AWS, vous pouvez utiliser AWS Config pour rapidement identifier les compartiments qui autorisent un accès en écriture ou en lecture public. En outre, vous pouvez configurer AWS Config pour recevoir des notifications si des compartiments S3 devenaient accessibles publiquement après votre vérification initiale.

Pour créer des règles AWS Config qui signalent quels compartiments S3 sont publiquement accessibles, suivez ces étapes :

Remarque : avant d'utiliser AWS Config pour analyser vos compartiments S3, assurez-vous de configurer AWS Config sur votre compte AWS.

  1. Ouvrez la console AWS Config et définissez le sélecteur de régions sur une région AWS prenant en charge les règles AWS Config.
    Remarque : AWS Config effectue la vérification de la conformité pour les compartiments situés dans la région AWS correspondante. Si vous disposez de plusieurs compartiments dans diverses régions, configurez des règles AWS Config dans chaque région.
  2. Dans le volet de navigation, choisissez Rules.
  3. Choisissez + Add rule (+ Ajouter une règle).
  4. Dans la barre de recherche, saisissez « s3-bucket-public-read-prohibited ». Sélectionnez ensuite la règle s3-bucket-public-read-prohibited. Cette règle signale les compartiments qui permettent un accès de lecture public Noncompliant (non conforme).
  5. Choisissez Save.
  6. Choisissez + Add rule (+ Ajouter une règle).
  7. Dans la barre de recherche, saisissez « s3-bucket-public-write-prohibited ». Sélectionnez ensuite la règle s3-bucket-public-write-prohibited. Cette règle signale les compartiments qui permettent un accès d'écriture public Noncompliant (non conforme).
  8. Choisissez Save.

Quelques minutes peuvent être nécessaires pour qu'AWS Config termine l'évaluation de vos compartiments S3 d'après les nouvelles règles. Une fois l'évaluation AWS Config terminée, ouvrez la page Rules (Règles) à partir de la console AWS Config. Ouvrez ensuite chaque règle pour vérifier quels compartiments S3 sont signalés comme non conformes ; les compartiments non conformes sont ceux qui autorisent un accès en écriture ou en lecture public depuis Internet.

Pour configurer des notifications depuis AWS Config lorsqu'un compartiment S3 devient non conforme (lorsqu'il autorise un accès en écriture ou en lecture public), consultez la section Notifications envoyées par AWS Config.

Pour plus d'informations sur la configuration des autorisations pour les compartiments S3, consultez la section Configuration des autorisations d'accès aux compartiments et aux objets.


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 04/06/2018