Recherche

S3 : AWS veut en finir avec les accès publics

Au nom de la sécurité, AWS entend généraliser, en 2023, le blocage par défaut de l'accès public pour les compartiments S3.

Publié par Clément Bohic le | Mis à jour le
Lecture
3 min
  • Imprimer
S3 : AWS veut en finir avec les accès publics

Un peu plus de sécurité en standard pour Amazon S3 ? Deux changements se préparent pour le printemps 2023. Ils commenceront à s'appliquer au moins d'avril.

Par défaut, les nouveaux compartiments auront l'accès public bloqué et les ACL (listes de contrôle d'accès) désactivées. C'est déjà le cas pour ceux qu'on crée dans la console AWS. Ça le sera aussi pour ceux créés via l'API et le CLI S3, ainsi que les SDK AWS et les templates CloudFormation.

L'option de blocage de l'accès public était arrivée sur S3 en 2018. En toile de fond, un incident majeur chez Accenture. Qui avait laisse des clés d'API, des logs et des dizaines de milliers de mots de passe en libre accès... dans des compartiments pour lesquels les accès publics étaient autorisés.

Dans la lignée de cet épisode, AWS avait d'abord ajouté, sur la console d'admin, un indicateur orange portant la mention « Public ».

S3 : les quatre options de contrôle de l'accès public

Le blocage de l'accès public S3 comporte quatre options de paramétrage. Elles ont priorité sur les stratégies de compartiment et sur les ACL. Les voici :

Paramètre Comportement si activé
BlockPublicAcls Les appels PUT Bucket acl et PUT Object acl échouent si la liste de contrôle d'accès (ACL) spécifiée est publique.

Les appels PUT Object échouent si la demande inclut une ACL publique.

Si ce paramètre est appliqué à un compte, les appels PUT Bucket échouent si la demande inclut une ACL publique.

IgnorePublicAcls Amazon S3 ignore toutes les ACL publiques sur un compartiment et tout objet qu'il contient.

Ce paramètre permet de bloquer l'accès public accordé par les ACL, tout en autorisant les appels PUT Object qui incluent une ACL publique (contrairement à BlockPublicAcls qui rejette les appels PUT Object incluant une ACL publique).

BlockPublicPolicy Amazon S3 rejette les appels à la stratégie PUT Bucket si la stratégie de compartiment spécifiée autorise l'accès public, et rejette les appels à la stratégie PUT Access Point pour tous les points d'accès  du compartiment si la stratégie spécifiée autorise l'accès public.
RestrictPublicBuckets L'accès à un point d'accès ou à un compartiment avec une stratégie publique est restreint aux seuls mandataires de services AWS et utilisateurs autorisés au sein du compte du propriétaire du compartiment.

Ce paramètre bloque tous les accès entre comptes au point d'accès ou au compartiment (sauf par les mandataires de services AWS), tout en autorisant les utilisateurs au sein du compte à gérer le point d'accès ou le compartiment.

 

En cas de besoin d'un accès public, on devra supprimer le blocage en appelant DeletePublicAccessBlock.

La possibilité de désactiver les ACL était arrivée en 2021. Lorsque l'option est enclenchée, le propriétaire des compartiments est aussi le propriétaires des objets, peu importe qui les a ajoutés.
La réactivation des ACL passe par le paramètre ObjectOwnership, à régler sur « ObjectWriter » dans les requêtes CreateBucket.

Photo d'illustration ©

Sur le même thème

Voir tous les articles Cloud

Livres Blancs

Voir tous les livres blancs
S'abonner
au magazine
Se connecter
Retour haut de page