是否有一种简单的方法来查看特定存储桶的有效访问权限是什么?为了更具体地说明环境,通过身份策略授予对存储桶的访问权限,有超过170个IAM角色和用户以及1000多个策略(并非所有策略都附加到IAM角色或用户)。我需要查看谁对特定存储桶具有s3:GetObject,s3:PutObject和s3:DeleteObject权限。有一些工具可以给我这种报告吗?我可以编写一个脚本来处理所有角色,附加给他们的策略,提取包含特定存储段的语句,然后可以交叉引用允许和拒绝,但是我敢肯定有一些更聪明的方法可以做到这一点。
答案 0 :(得分:1)
我没有比您描述的更好的方法。您可以按照https://aws.amazon.com/blogs/security/a-simple-way-to-export-your-iam-settings/中的说明导出IAM设置(除非您已经将它们包含在CloudFormation或CDK脚本中)。
然后,您可以(手动或编程)扫描感兴趣的策略以及它们所附加的用户或角色。
答案 1 :(得分:1)
来自Using Access Analyzer for S3 - Amazon Simple Storage Service:
用于S3的访问分析器会提醒您S3存储桶,这些存储桶已配置为允许访问Internet上的任何人或其他AWS账户,包括组织外部的AWS账户。对于每个公共或共享存储桶,您都会收到有关公共或共享访问的来源和级别的发现。例如,Access Analyzer for S3可能表明存储桶具有通过存储桶访问控制列表(ACL),存储桶策略或访问点策略提供的读取或写入访问。有了这些知识,您就可以立即采取精确的纠正措施,将您的存储桶访问权限恢复到您想要的目的。