问题描述
我希望一次简单且尽可能轻松的方式一次提取一个存储桶策略(在有很多存储桶的帐户中)。我主要关注的是IAM角色和用户以及他们在存储桶中可以访问哪些资源。以难以理解的格式运行
aws s3api get-bucket-policy会超出我的需求。我希望获得某种格式的文件,并与谁可以访问哪些内容的简单(可能很长)分解在一起。在编写脚本之前有任何建议,很难做到吗?
解决方法
来自Using Access Analyzer for S3:
用于S3的访问分析器会提醒您S3存储桶,这些存储桶已配置为允许访问Internet上的任何人或其他AWS账户,包括组织外部的AWS账户。对于每个公共或共享存储桶,您都会收到有关公共或共享访问的来源和级别的发现。例如,Access Analyzer for S3可能表明存储桶具有通过存储桶访问控制列表(ACL),存储桶策略或访问点策略提供的读取或写入访问。有了这些知识,您就可以立即采取精确的纠正措施,将您的存储桶访问权限恢复到您想要的目的。
AWS IAM Access Analyzer 可帮助您识别组织和帐户中与外部实体共享的资源,例如Amazon S3存储桶或IAM角色。这使您可以识别对资源和数据的意外访问,这是安全隐患。 Access Analyzer通过使用基于逻辑的推理来分析AWS环境中基于资源的策略,来识别与外部主体共享的资源。对于在帐户外部共享的资源的每个实例,Access Analyzer都会生成一个发现。结果包括有关访问和被授予访问权限的外部主体的信息。您可以查看调查结果以确定访问是有意的和安全的,还是无意的访问和安全风险。