如果有人更新了权限(如列表,写入,读取和公开特定S3存储桶中的对象),我希望将电子邮件通知获取到特定的邮件ID。
我们遇到这样的情况:组织中的多个人可以允许访问S3存储桶。每个人都可以上传/下载自己的团队相关文件。在执行此操作时,有些人会通过将整个存储桶设为公开,或启用写入和列出权限而犯错。启用此权限后,我们无法识别此问题,并且无法立即采取行动撤消该权限。为了避免这种情况,我们要求在有人更改特定S3存储桶的权限时通知邮件服务。
请帮助如何处理这种情况。
答案 0 :(得分:0)
写入更好的权限,将低级用户的独占拒绝权限附加到特定存储桶,这将推翻现有的错误策略。即使您在某人更改存储桶策略时收到通知,也可能需要您花费一些时间对此采取行动。可以完成CloudTrail API检测和电子邮件通知,但仍然会存在漏洞。我认为应该首先集中精力确定访问权限,然后再基于事件触发电子邮件。
@Amit为此共享了正确的文章:How to Detect and Automatically Remediate Unintended Permissions in Amazon S3 Object ACLs with CloudWatch Events | AWS Security Blog