Hoe voorkomen we dat iemand per ongeluk een S3-bucket publiek maakt?
Block Public Access is sinds 2018 standaard aan voor nieuwe buckets, maar oude buckets en account-overrides bestaan nog. Zet het op account-niveau af en je voorkomt 99 procent van de incidenten.
Probeer dit eerst zelf
- 1Schakel S3 Block Public Access op account-niveau in, met alle vier de instellingen aan. Dat overrulet elke bucket-policy of ACL die anders zegt.
- 2Run AWS Config-regel s3-bucket-public-read-prohibited en s3-bucket-public-write-prohibited als continue check.
- 3Schakel S3 Object Ownership op Bucket Owner Enforced. Dat zet ACL's helemaal uit, zodat alleen IAM-policy of bucket-policy toegang geeft.
- 4Voor buckets die wel publiek moeten zijn (statische website, downloads), gebruik CloudFront ervoor met Origin Access Control. Bucket blijft privé.
- 5Op Azure is dit Storage Account Public Access disabled, op GCP is het Public Access Prevention. Zet beide aan op org-niveau.
Wanneer ons inschakelen
Heb je honderden buckets en weet je niet wat erin zit, dan is een Macie-scan plus een korte review zinnig voordat je hard gaat dichtzetten.
Zie ook
- Iedereen logt in met het root-account van AWSHet root-account is voor noodgevallen en facturatie. Dagelijks werk hoort via IAM-users of SSO.
- Iedere developer heeft AdministratorAccessAdministratorAccess overal is gemak nu, drama later. Begin met rolgebaseerde policies.
- Iedereen heeft losse IAM-users met eigen wachtwoordIdentity Center (voorheen AWS SSO) koppelt aan je IdP en geeft tijdelijke credentials per sessie.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.