Уведомление по электронной почте при изменении разрешения корзины S3

Question

Я хотел бы получить уведомление по электронной почте на конкретный почтовый идентификатор, если кто-либо обновил разрешение, например, список, запись, чтение, обнародование объектов внутри конкретного S3 Bucket.

у нас есть ситуация, когда нескольколюди в нашей организации могут получить доступ к корзинам S3. Каждый может загружать / скачивать свои файлы, связанные с командой. Делая это, некоторые люди делают ошибку, делая весь контейнер общедоступным или активируя разрешение на запись и список. Мы не можем определить эту проблему, когда это разрешение включено, и не можем предпринять немедленные действия, чтобы отозвать это разрешение. Чтобы избежать этого, мы требуем уведомлять почтовую службу, когда кто-то изменил разрешение на конкретный S3 Bucket.

Пожалуйста, помогите, как справиться с этой ситуацией.

Answer 1

Пишите лучшие разрешения, прикрепляйте эксклюзивные разрешения запрета для пользователей низкого уровня к определенным сегментам, что отменяет существующие плохие политики. Даже если вы получаете уведомление, когда кто-то меняет политику корзины, вам может потребоваться некоторое время, чтобы принять меры. Обнаружение API CloudTrail и уведомление по электронной почте могут быть выполнены, но они все еще будут открыты для уязвимостей. Я считаю, что усилия должны быть сосредоточены в первую очередь на выяснении разрешений на доступ, а затем на основе событийного триггера электронной почты.

@ Амит поделился правильной статьей для этого: Как обнаруживать и автоматически исправлять непреднамеренные разрешения в списках ACL объектов Amazon S3 с CloudWatch Events |Блог безопасности AWS