Un peu plus de sécurité en standard pour Amazon S3 ? Deux changements se préparent pour le printemps 2023. Ils commenceront à s’appliquer au moins d’avril.
Par défaut, les nouveaux compartiments auront l’accès public bloqué et les ACL (listes de contrôle d’accès) désactivées. C’est déjà le cas pour ceux qu’on crée dans la console AWS. Ça le sera aussi pour ceux créés via l’API et le CLI S3, ainsi que les SDK AWS et les templates CloudFormation.
L’option de blocage de l’accès public était arrivée sur S3 en 2018. En toile de fond, un incident majeur chez Accenture. Qui avait laisse des clés d’API, des logs et des dizaines de milliers de mots de passe en libre accès… dans des compartiments pour lesquels les accès publics étaient autorisés.
Dans la lignée de cet épisode, AWS avait d’abord ajouté, sur la console d’admin, un indicateur orange portant la mention « Public ».
Le blocage de l’accès public S3 comporte quatre options de paramétrage. Elles ont priorité sur les stratégies de compartiment et sur les ACL. Les voici :
| Paramètre | Comportement si activé |
| BlockPublicAcls | Les appels PUT Bucket acl et PUT Object acl échouent si la liste de contrôle d’accès (ACL) spécifiée est publique. Les appels PUT Object échouent si la demande inclut une ACL publique. Si ce paramètre est appliqué à un compte, les appels PUT Bucket échouent si la demande inclut une ACL publique. |
| IgnorePublicAcls | Amazon S3 ignore toutes les ACL publiques sur un compartiment et tout objet qu’il contient. Ce paramètre permet de bloquer l’accès public accordé par les ACL, tout en autorisant les appels PUT Object qui incluent une ACL publique (contrairement à BlockPublicAcls qui rejette les appels PUT Object incluant une ACL publique). |
| BlockPublicPolicy | Amazon S3 rejette les appels à la stratégie PUT Bucket si la stratégie de compartiment spécifiée autorise l’accès public, et rejette les appels à la stratégie PUT Access Point pour tous les points d’accès du compartiment si la stratégie spécifiée autorise l’accès public. |
| RestrictPublicBuckets | L’accès à un point d’accès ou à un compartiment avec une stratégie publique est restreint aux seuls mandataires de services AWS et utilisateurs autorisés au sein du compte du propriétaire du compartiment. Ce paramètre bloque tous les accès entre comptes au point d’accès ou au compartiment (sauf par les mandataires de services AWS), tout en autorisant les utilisateurs au sein du compte à gérer le point d’accès ou le compartiment. |
En cas de besoin d’un accès public, on devra supprimer le blocage en appelant DeletePublicAccessBlock.
La possibilité de désactiver les ACL était arrivée en 2021. Lorsque l’option est enclenchée, le propriétaire des compartiments est aussi le propriétaires des objets, peu importe qui les a ajoutés.
La réactivation des ACL passe par le paramètre ObjectOwnership, à régler sur « ObjectWriter » dans les requêtes CreateBucket.
Photo d’illustration ©
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…