O analisador de acesso para S3 é um recurso que monitora políticas de acesso, garantindo que as políticas forneçam apenas o acesso pretendido aos recursos do S3.
Para acessar o Analisador de acesso para S3, você deve encontrar na aba de serviços da AWS pelo Amazon S3 e depois clicar em Analisador de acesso para S3
O analisador de acesso para S3 alerta quando um bucket está aberto para acesso de qualquer pessoa na Internet ou quando ele é compartilhado com outras contas da AWS, e ele faz isso de forma automática. Ele também aponta desde quando o analisador de acesso encontrou a “brecha” no seu bucket, aprimorando a auditoria.
Funções do Analisador de Acesso para S3
Vamos usar um bucket de exemplo e via S3 Policies, vamos definir que ele é um bucket público.
A primeira função mais importante deste auditor, se assim o podemos chamar, é de efetuar o bloqueio dos acessos automaticamente. Você deve encontrar o bucket alvo na lista do auditor, seleciona-lo e clicar no botão Bloquear todos os acessos públicos (em laranja).
A tela também mostra a quantidade de buckets totais encontrados nesta região do mundo. (No print estamos em São Paulo).
Neste bucket que temos de exemplo, existe um arquivo PDF que pode ser acessado publicamente. Este arquivo é um documento valioso que não pode ser compartilhado, mas por algum erro de configuração está acessível para quem tiver o link.
Na tela da auditoria de acessos, vamos selecionar o bucket que possui este documento e clicar no botão Bloquear todos os acessos públicos, você precisa confirmar que deseja e ter certeza do que está fazendo, pois caso contrário uma aplicação ou site que deveriam ser públicos poderão ficar fora do ar após esta operação.
Em seguida você recebera a confirmação que o bloqueio foi realizado com sucesso.
Pronto, agora nem o arquivo e nem o bucket estão públicos, o auditor, colocará que este bucket só está acessível para usuário autorizados da conta.
E agora ao tentar acessar o arquivo novamente, o browser irá retornar um arquivo XML e nele descrito o Acesso negado ao arquivo.
Em todo caso, no mundo real existem buckets S3 que fazem a hospedagem de sites estáticos e então ele obrigatoriamente deverá estar público, para isso existe a opção de arquivar o registro deste bucket, onde ele passa a entender que ele é realmente público.
Como começar a usar?
Para começar a usar o analisador de acesso para S3, visite o console do IAM para criar um novo analisador, este será o responsável de auditar todos os seus buckets que estejam com este perfíl de acesso, este analisador rodará com frequência em busca de novos buckets com as regras ditas acimas e mesmo aqueles que por qualquer motivo mudaram suas politicas recentemente.
O que é bacana é que este Analisador de Acessos não se resume apenas a Buckets S3, ele também investiga e lista recursos do tipo:
- AWS KMS Keys
- SQS Queues
- AWS IAM Roles
- AWS Lambda
Segundo a documentação da AWS, o analisador de acessos para S3 está disponível sem custo adicional no Console de Gerenciamento do S3 em todas as regiões comerciais da AWS, exceto AWS China (Pequim) e AWS China (Ningxia). O analisador de acessos para S3 também está disponível por meio de APIs nas regiões do AWS GovCloud (EUA).
Abraços.
