我該如何找出哪些 S3 儲存貯體是可以從網際網路存取的？

解決方法

若要檢查 S3 儲存貯體是否可公開存取，請使用下列任一方法：

• 使用 Amazon S3 主控台設定公用存取的設定。
• 使用 AWS Trusted Advisor 檢查 Amazon S3 儲存貯體的權限。
• 使用存取分析器為可公開存取的儲存貯體設定警示。

如果您的 AWS 帳戶中有大量 S3 儲存貯體，則 AWS Config 可以提供更有效率的方法。AWS Config 規則可讓您快速識別哪些儲存貯體能公開讀取或寫入存取。此外，您也可以設定 AWS Config，以便在初始檢閱後一旦有任何 S3 儲存貯體可公開存取就能通知您。

若要建立標記哪些 S3 儲存貯體可公開存取的 AWS Config 規則，請依照下列步驟執行：

**注意：**在使用 AWS Config 分析 S3 儲存貯體之前，請務必在您的 AWS 帳戶上設定 AWS Config。

1. 開啟 AWS Config 主控台，然後將區域選擇器設定為支援 AWS Config 規則的 AWS 區域。
   **注意：**AWS Config 會針對對應 AWS 區域中的儲存貯體執行合規檢查。如果您在多個區域中有儲存貯體，請在每個區域中設定 AWS Config 規則。
2. 在導覽窗格中，選擇規則。
3. 選取 + Add rule。
4. 在搜尋列中，輸入 s3-bucket-public-read-prohibited。然後，選擇 s3-bucket-public-read-prohibited 規則。此規則將可以公開讀取存取的儲存貯體標記為不合規。
5. 選取儲存。
6. 選擇 + Add rule。
7. 在搜尋列中，輸入 s3-bucket-public-write-prohibited。然後，選擇 s3-bucket-public-write-prohibited 規則。此規則將可以公開寫入存取的儲存貯體標記為不合規。
8. 選取儲存。

AWS Config 可能需要幾分鐘的時間才能根據新規則完成 S3 儲存貯體的評估。AWS Config 完成評估後，從 AWS Config 主控台開啟規則頁面。然後，開啟每個規則以查看哪些 S3 儲存貯體被標記為不合規。不合規的儲存貯體是可以從網際網路進行公開寫入或讀取的儲存貯體。

若要在 S3 儲存貯體變得不合規時從 AWS Config 設定通知，請參閱 AWS Config 傳送到 Amazon SNS 主題的通知。

如需要 S3 儲存貯體權限設定的詳細資訊，請參閱 Amazon S3 中的 Identity and access management。

相關資訊

使用 AWS Config 規則評估資源