Analisador de Acesso do S3

O analisador de acesso para S3 é um recurso que monitora políticas de acesso, garantindo que as políticas forneçam apenas o acesso pretendido aos recursos do S3.

Figura 1 – Amazon s3

Para acessar o Analisador de acesso para S3, você deve encontrar na aba de serviços da AWS pelo Amazon S3 e depois clicar em Analisador de acesso para S3

Figura 2 - Analisador de acesso para S3
Figura 2 – Analisador de acesso para S3

O analisador de acesso para S3 alerta quando um bucket está aberto para acesso de qualquer pessoa na Internet ou quando ele é compartilhado com outras contas da AWS, e ele faz isso de forma automática. Ele também aponta desde quando o analisador de acesso encontrou a “brecha” no seu bucket, aprimorando a auditoria.

Funções do Analisador de Acesso para S3

Vamos usar um bucket de exemplo e via S3 Policies, vamos definir que ele é um bucket público.

Figura 3 - Bucket público
Figura 3 – Bucket público

A primeira função mais importante deste auditor, se assim o podemos chamar, é de efetuar o bloqueio dos acessos automaticamente. Você deve encontrar o bucket alvo na lista do auditor, seleciona-lo e clicar no botão Bloquear todos os acessos públicos (em laranja).

Figura 3 - Bloquear todos os acessos públicos
Figura 3 – Bloquear todos os acessos públicos

A tela também mostra a quantidade de buckets totais encontrados nesta região do mundo. (No print estamos em São Paulo).

Neste bucket que temos de exemplo, existe um arquivo PDF que pode ser acessado publicamente. Este arquivo é um documento valioso que não pode ser compartilhado, mas por algum erro de configuração está acessível para quem tiver o link.

Figura 4 - Documento acessível
Figura 4 – Documento acessível

Na tela da auditoria de acessos, vamos selecionar o bucket que possui este documento e clicar no botão Bloquear todos os acessos públicos, você precisa confirmar que deseja e ter certeza do que está fazendo, pois caso contrário uma aplicação ou site que deveriam ser públicos poderão ficar fora do ar após esta operação.

Figura 5 - Confirmar o bloqueio
Figura 5 – Confirmar o bloqueio

Em seguida você recebera a confirmação que o bloqueio foi realizado com sucesso.

Figura 6 - Bloqueio Realizado
Figura 6 – Bloqueio Realizado

Pronto, agora nem o arquivo e nem o bucket estão públicos, o auditor, colocará que este bucket só está acessível para usuário autorizados da conta.

Figura 7 - Usuários autorizados
Figura 7 – Usuários autorizados

E agora ao tentar acessar o arquivo novamente, o browser irá retornar um arquivo XML e nele descrito o Acesso negado ao arquivo.

Figura 8 - Acesso negado
Figura 8 – Acesso negado

Em todo caso, no mundo real existem buckets S3 que fazem a hospedagem de sites estáticos e então ele obrigatoriamente deverá estar público, para isso existe a opção de arquivar o registro deste bucket, onde ele passa a entender que ele é realmente público.

Figura 9 - Botão Arquivar
Figura 9 – Botão Arquivar

Como começar a usar?

Para começar a usar o analisador de acesso para S3, visite o console do IAM para criar um novo analisador, este será o responsável de auditar todos os seus buckets que estejam com este perfíl de acesso, este analisador rodará com frequência em busca de novos buckets com as regras ditas acimas e mesmo aqueles que por qualquer motivo mudaram suas politicas recentemente.

Figura 10 - IAM Acess Analyzer
Figura 10 – IAM Acess Analyzer

O que é bacana é que este Analisador de Acessos não se resume apenas a Buckets S3, ele também investiga e lista recursos do tipo:

  • AWS KMS Keys
  • SQS Queues
  • AWS IAM Roles
  • AWS Lambda
Figura 11 - IAM Roles auditadas
Figura 11 – IAM Roles auditadas

Segundo a documentação da AWS, o analisador de acessos para S3 está disponível sem custo adicional no Console de Gerenciamento do S3 em todas as regiões comerciais da AWS, exceto AWS China (Pequim) e AWS China (Ningxia). O analisador de acessos para S3 também está disponível por meio de APIs nas regiões do AWS GovCloud (EUA).

Abraços.