是否有一种简单的方法可以查看特定存储桶的有效访问权限是什么?为了更具体地了解环境,通过身份策略授予对存储桶的访问权限,有 170 多个 IAM 角色和用户以及 1000 多个策略(并非所有这些都附加到 IAM 角色或用户)。我需要查看谁拥有特定存储桶的 s3:GetObject、s3:PutObject 和 s3:DeleteObject 权限。有什么工具可以给我那种报告吗?我可以编写一个脚本来遍历所有角色、附加到它们的策略、提取包含特定存储桶的语句,然后我可以交叉引用允许和拒绝,但我确信有一些更聪明的方法可以做到这一点。
【问题讨论】:
标签: amazon-web-services amazon-s3 permissions bucket
我不知道有什么比你描述的更好的方法。您可以按照https://aws.amazon.com/blogs/security/a-simple-way-to-export-your-iam-settings/ 中的说明导出您的 IAM 设置(除非您已经在 CloudFormation 或 CDK 脚本中拥有它们)。
然后,您可以(手动或以编程方式)扫描感兴趣的策略以及它们附加到哪些用户或角色。
【讨论】:
来自Using Access Analyzer for S3 - Amazon Simple Storage Service:
S3 访问分析器会提醒您注意配置为允许访问 Internet 上的任何人或其他 AWS 账户(包括组织外部的 AWS 账户)的任何人的 S3 存储桶。对于每个公共或共享存储桶,您会收到有关公共或共享访问的来源和级别的调查结果。例如,S3 访问分析器可能会显示存储桶具有通过存储桶访问控制列表 (ACL)、存储桶策略或访问点策略提供的读取或写入访问权限。有了这些知识,您就可以立即采取精确的纠正措施,将您的存储桶访问权限恢复到您想要的状态。
【讨论】: