|
À partir d’avril 2023, nous apporterons deux modifications à Service de stockage easy d’Amazon (Amazon S3) pour appliquer automatiquement nos dernières bonnes pratiques en matière de sécurité des buckets. Les modifications entreront en vigueur en avril et seront déployées dans toutes les régions AWS d’ici quelques semaines.
Une fois que les modifications sont en vigueur pour une région cible, tous les compartiments nouvellement créés dans la région auront par défaut Accès public au bloc S3 activé et listes de contrôle d’accès (ACL) désactivé. Ces deux choices sont déjà des valeurs par défaut de la console et ont longtemps été recommandées comme meilleures pratiques. Les choices deviendront la valeur par défaut pour les compartiments créés à l’aide de la API S3, CLI S3le SDK AWSou AWS CloudFormation modèles.
Pour rappel, les compartiments et objets S3 ont toujours été privés par défaut. Nous avons ajouté Block Public Entry en 2018 et la possibilité de désactiver les ACL en 2021 afin de vous donner plus de contrôle, et nous recommandons depuis longtemps l’utilisation de Gestion des identités et des accès AWS (IAM) comme une different moderne et plus versatile.
À la lumière de ce changement, nous recommandons une approche délibérée et réfléchie de la création de nouveaux compartiments qui reposent sur des compartiments publics ou ACL, et pensons que la plupart des functions n’ont besoin ni de l’un ni de l’autre. S’il s’avère que votre utility en est une, vous devrez apporter les modifications que je décris ci-dessous (assurez-vous de revoir votre code, vos scripts, AWS CloudFormation modèles et toute autre automatisation).
Ce qui change
Examinons de plus près les modifications que nous apportons :
Accès public au bloc S3 – Les quatre paramètres au niveau du compartiment décrits dans ce publish sera activé pour les buckets nouvellement créés :
Une tentative ultérieure de définition d’une stratégie de compartiment ou d’une stratégie de level d’accès qui accorde un accès public sera rejetée avec une erreur 403 Accès refusé. Si vous avez besoin d’un accès public pour un nouveau compartiment, vous pouvez le créer comme d’habitude, puis supprimer le bloc d’accès public en appelant DeletePublicAccessBlock (Tu auras besoin de s3:PutBucketPublicAccessBlock autorisation pour appeler cette fonction ; lire Bloquer l’accès public pour en savoir plus sur les fonctions et les permissions).
ACL désactivées – Le Paramètre appliqué par le propriétaire du bucket sera activé pour les buckets nouvellement créés, ce qui rendra les ACL de bucket et les ACL d’objet inefficaces et garantira que le propriétaire du bucket est le propriétaire de l’objet, quelle que soit la personne qui télécharge l’objet. Si vous souhaitez activer les ACL pour un compartiment, vous pouvez définir le paramètre ObjectOwnership paramètre à ObjectWriter dans ton CreateBucket demande ou vous pouvez appeler DeleteBucketOwnershipControls après avoir créé le compartiment. Tu auras besoin de s3:PutBucketOwnershipControls autorisation afin d’utiliser le paramètre ou d’appeler la fonction ; lire Contrôle de la propriété des objets et Création d’un compartiment pour apprendre plus.
Restez à l’écoute
Nous publierons une première Quoi de neuf publish lorsque nous commençons à déployer ce changement et un autre lorsque le déploiement a atteint toutes les régions AWS. Vous pouvez également exécuter vos propres checks pour détecter le changement de comportement.
— Jef;
