Heads-Up! Zmiany w zakresie bezpieczeństwa Amazon S3 nadchodzą w kwietniu 2023

Począwszy od kwietnia 2023 r. twórcy AWS zamierzają wprowadzić dwie zmiany w usłudze Amazon Simple Storage Service (Amazon S3), aby automatycznie wprowadzić w życie najnowsze i zarazem najlepsze praktyki związane z bezpieczeństwem zasobników. Zmiany zaczną obowiązywać w kwietniu i zostaną wdrożone we wszystkich regionach AWS w ciągu kilku tygodni. 

Gdy zapowiadane zmiany wejdą w życie w regionie docelowym, wszystkie nowo utworzone zasobniki w regionie będą domyślnie miały włączony S3 Block Public Access i wyłączone listy kontroli dostępu (ACL). Obie te opcje są już ustawieniami domyślnymi konsoli i od dawna są zalecane jako najlepsze praktyki. Opcje staną się domyślne dla zasobników utworzonych przy użyciu szablonów S3 API, S3 CLI, AWS SDK lub AWS CloudFormation.

Jak wynika z historii, zasobniki i obiekty S3 zawsze były domyślnie prywatne. Twórcy AWS dodali Block Public Access w 2018 r. i możliwość wyłączania list ACL w 2021 r., aby w ten sposób zapewnić Ci większą kontrolę. Od dawna zaleca się korzystanie z zasad AWS Identity and Access Management (IAM) jako nowoczesnej i bardziej elastycznej alternatywy.

W świetle tej zmiany autorzy zalecają przemyślane i rozważne podejście do tworzenia nowych zasobników opartych na zasobnikach publicznych lub listach ACL. Jednocześnie uważają, że większość aplikacji nie potrzebuje żadnego z nich. Jeśli okaże się, że Twoja aplikacja spełnia wymagania, będziesz musiał wprowadzić zmiany, które zostały omówione poniżej (koniecznie przejrzyj swój kod, skrypty, szablony AWS CloudFormation i wszelkie inne automatyzacje).

Co ulega zmianie

Pora bliżej przyjrzeć się zmianom, które twórcy AWS zamierzają wprowadzić:

S3 Block Public Access – Wszystkie cztery ustawienia na poziomie zasobnika opisane w tym poście zostaną włączone dla nowo utworzonych zasobników:

Kolejna próba ustawienia zasady zasobnika lub zasady punktu dostępu, która przyznaje dostęp publiczny, zostanie odrzucona z błędem 403 Odmowa dostępu. Jeśli potrzebujesz publicznego dostępu do nowego zasobnika, możesz go utworzyć w tradycyjny sposób, a następnie usunąć blokadę publicznego dostępu, wywołując polecenie DeletePublicAccessBlock (będziesz potrzebować uprawnienia s3:PutBucketPublicAccessBlock, aby wywołać tę funkcję; zapoznaj się z Block Public Access, aby dowiedzieć się więcej o funkcjach i uprawnieniach).

ACLs Disabled – Ustawienie wymuszone przez właściciela zasobnika zostanie włączone dla nowo utworzonych zasobników, co sprawi, że listy ACL zasobników i listy ACL obiektów staną się nieskuteczne, a właściciel zasobnika będzie właścicielem obiektu bez względu na to, kto prześle obiekt. Jeśli chcesz aktywować listy ACL dla zasobnika, możesz ustawić parametr ObjectOwnership na wartość ObjectWriter w żądaniu CreateBucket lub wywołać funkcję DeleteBucketOwnershipControls po utworzeniu zasobnika. Będziesz potrzebować uprawnienia s3:PutBucketOwnershipControls, aby użyć parametru lub wywołać funkcję; zapoznaj się z Controlling Ownership of Objects i Creating a Bucket, aby dowiedzieć się więcej.

Stay tuned!

Autorzy opublikują pierwszy post z nowościami, gdy zaczną wdrażać tę zmianę, i kolejny, gdy wdrożenie dotrze do wszystkich regionów AWS. Możesz także przeprowadzić własne testy, aby zaobserwować zmianę w zachowaniu.

źródło: AWS