Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # `AWSSupport-TroubleshootS3PublicRead` **Description** Le `AWSSupport-TroubleshootS3PublicRead` runbook diagnostique les problèmes de lecture des objets du compartiment public Amazon Simple Storage Service (Amazon S3) que vous spécifiez dans le paramètre. `S3BucketName` Un sous-ensemble de paramètres est également analysé pour les objets du compartiment S3. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootS3PublicRead) **Limites** + Cette automatisation ne vérifie pas les points d'accès qui permettent au public d'accéder aux objets. + Cette automatisation n'évalue pas les clés de condition dans la politique du compartiment S3. + Si vous l'utilisez AWS Organizations, cette automatisation n'évalue pas les politiques de contrôle des services pour confirmer que l'accès à Amazon S3 est autorisé. **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook. + CloudWatchLogGroupName Type : Chaîne Description : (Facultatif) Le groupe de CloudWatch journaux Amazon Logs dans lequel vous souhaitez envoyer le résultat d'automatisation. Si aucun groupe de journaux correspondant à la valeur que vous spécifiez n'est trouvé, l'automatisation créera un groupe de journaux à l'aide de cette valeur de paramètre. La période de conservation du groupe de journaux créé par cette automatisation est de 14 jours. + CloudWatchLogStreamName Type : Chaîne Description : (Facultatif) Le flux du journal CloudWatch des journaux dans lequel vous souhaitez envoyer la sortie d'automatisation. Si aucun flux de journal correspondant à la valeur que vous spécifiez n'est trouvé, l'automatisation créera un flux de journal à l'aide de cette valeur de paramètre. Si vous ne spécifiez pas de valeur pour ce paramètre, l'automatisation utilisera le `ExecutionId` pour le nom du flux de journal. + HttpGet Type : Boolean Valeurs valides : true \$1 false Valeur par défaut : true Description : (Facultatif) Si ce paramètre est défini sur`true`, l'automatisation envoie une requête HTTP partielle aux objets `S3BucketName` que vous spécifiez. Seul le premier octet de l'objet est renvoyé à l'aide de l'en-tête HTTP Range. + IgnoreBlockPublicAccess Type : Boolean Valeurs valides : true \$1 false Valeur par défaut : false Description : (Facultatif) Si ce paramètre est défini sur`true`, l'automatisation ignore les paramètres de blocage d'accès public du compartiment S3 que vous spécifiez dans le `S3BucketName` paramètre. Il n'est pas recommandé de modifier ce paramètre par rapport à la valeur par défaut. + MaxObjects Type : Integer Valeurs valides : 1 à 25 Par défaut: 5 Description : (Facultatif) Le nombre d'objets à analyser dans le compartiment S3 que vous spécifiez dans le `S3BucketName` paramètre. + S3 BucketName Type : Chaîne Description : (Obligatoire) Nom du compartiment S3 à dépanner. + S3 PrefixName Type : Chaîne Description : (Facultatif) Le préfixe du nom clé des objets que vous souhaitez analyser dans votre compartiment S3. Pour plus d'informations, consultez la section [Clés d'objet](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingMetadata.html#object-keys) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*. + StartAfter Type : Chaîne Description : (Facultatif) Nom de la clé d'objet dans laquelle vous souhaitez que l'automatisation commence à analyser les objets de votre compartiment S3. + ResourcePartition Type : Chaîne Valeurs valides : `aws` \$1 `aws-us-gov` \$1 `aws-cn` Valeur par défaut : `aws` Description : (Obligatoire) La partition dans laquelle se trouve votre compartiment S3. + Détaillée Type : Boolean Valeurs valides : true \$1 false Valeur par défaut : false Description : (Facultatif) Pour renvoyer des informations plus détaillées lors de l'automatisation, définissez ce paramètre sur`true`. Seuls les messages d'avertissement et d'erreur seront renvoyés si le paramètre est défini sur`false`. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. Les `logs:PutLogEvents` autorisations`logs:CreateLogGroup`,`logs:CreateLogStream`, et ne sont requises que si vous souhaitez que l'automatisation envoie des données de journal à CloudWatch Logs. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "iam:SimulateCustomPolicy", "iam:GetContextKeysForCustomPolicy", "s3:ListAllMyBuckets", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:PutRetentionPolicy", "s3:GetAccountPublicAccessBlock" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectTagging" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetBucketPublicAccessBlock", "s3:GetBucketRequestPayment", "s3:GetBucketPolicyStatus", "s3:GetBucketPolicy", "s3:GetBucketAcl" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1", "Effect": "Allow" } ] } ``` ------ **Étapes de document** + `aws:assertAwsResourceProperty`- Confirme que le compartiment S3 existe et qu'il est accessible. + `aws:executeScript`- Renvoie l'emplacement du compartiment S3 et votre ID utilisateur canonique. + `aws:executeScript`- Renvoie les paramètres de blocage de l'accès public pour votre compte et le compartiment S3. + `aws:assertAwsResourceProperty`- Confirme que le payeur du compartiment S3 est réglé sur`BucketOwner`. S'il `Requester Pays` est activé sur le compartiment S3, l'automatisation prend fin. + `aws:executeScript`- Renvoie l'état de la politique du compartiment S3 et détermine s'il est considéré comme public. Pour plus d'informations sur les compartiments S3 publics, consultez [La signification du terme « public »](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html#access-control-block-public-access-policy-status) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*. + `aws:executeAwsApi`- Renvoie la politique du compartiment S3. + `aws:executeAwsApi`- Renvoie toutes les clés de contexte présentes dans la politique du compartiment S3. + `aws:assertAwsResourceProperty`- Confirme s'il existe un refus explicite dans la politique du compartiment S3 pour l'action d'`GetObject`API. + `aws:executeAwsApi`- Renvoie la liste de contrôle d'accès (ACL) pour le compartiment S3. + `aws:executeScript`- Crée un groupe de CloudWatch journaux et un flux de journaux si vous spécifiez une valeur pour le `CloudWatchLogGroupName` paramètre. + `aws:executeScript`- Sur la base des valeurs que vous spécifiez dans les paramètres d'entrée du runbook, évalue si l'un des paramètres du compartiment S3 collectés lors de l'automatisation empêche le public d'accéder aux objets. Ce script exécute les fonctions suivantes : + Évalue les paramètres de blocage de l'accès public + Renvoie les objets de votre compartiment S3 en fonction des valeurs que vous spécifiez dans les `StartAfter` paramètres `MaxObjects``S3PrefixName`, et. + Renvoie la politique du compartiment S3 pour simuler une politique IAM personnalisée pour les objets renvoyés par votre compartiment S3. + Exécute une requête HTTP partielle vers les objets renvoyés si le `HttpGet` paramètre est défini sur`true`. Seul le premier octet de l'objet est renvoyé à l'aide de l'en-tête HTTP Range. + Vérifie le nom de clé de l'objet renvoyé pour confirmer s'il se termine par un ou deux points. Les noms de clés d'objet qui se terminent par des points ne peuvent pas être téléchargés depuis la console Amazon S3. + Vérifie si le propriétaire de l'objet renvoyé correspond au propriétaire du compartiment S3. + Vérifie si l'ACL de l'objet accorde `READ` `FULL_CONTROL` ou autorise des utilisateurs anonymes. + Renvoie les balises associées à l'objet. + Utilise la stratégie IAM simulée pour confirmer s'il existe un refus explicite pour cet objet dans la politique du compartiment S3 pour l'action d'`GetObject`API. + Renvoie les métadonnées de l'objet pour confirmer que la classe de stockage est prise en charge. + Vérifie les paramètres de chiffrement côté serveur de l'objet pour vérifier si l'objet est chiffré à l'aide d'une clé gérée par le client AWS Key Management Service (AWS KMS). **Sorties** AnalyzeObjects.seau AnalyzeObjects.objet