Amazon Web Services ブログ
S3 の Access Analyzer を使用して、Amazon S3 バケットを監視、確認、保護する
AWS のセキュリティは単なる機能ではありません。考え方です。本日、私たちは S3 の Access Analyzer を発表しました。これは、ユーザーの代わりにリソースポリシーを監視する新機能です。デフォルトでは、S3 で作成されたすべてのバケットとオブジェクトはプライベートに設定されています。AWS では、アクセスコントロールリスト (ACL) やバケットポリシーなどのメカニズムを使用して、詳細なアクセスレベルを設定できます。S3 の Access Analyzer はアクセスポリシーを監視する新しい機能です。これにより、ポリシーは S3 リソースへの意図したアクセスのみを提供するようになります。S3 の Access Analyzer がバケットアクセスポリシーを評価することで、ユーザーは不正アクセスの可能性があるバケットを見つけ、迅速に修正できるようになります。
組織やワークロードが大きくなると、S3 の Access Analyzer はすべてのポリシーを評価し、AWS アカウントの外部で共有され、不正アクセスの危険にさらされているパケットについて警告します。この投稿では、Amazon S3 の Access Analyzer を有効にする方法を順を追って説明します。また、この新機能を使用することによって、S3 バケットへのアクセスが意図したものであり、それだけに過ぎないことを確認できるユースケースについて考察します。
バケットへのアクセスが共有アクセスである可能性を示す結果が確認された場合、S3 マネジメントコンソールでワンクリックするだけでバケットへのすべてのパブリックアクセスをブロックでき、必要に応じてより詳細なアクセス許可を設定することもできます。静的なウェブサイトホスティングなど、パブリックアクセスを必要とする特定の検証済みのユースケースについては、バケットの解析結果を承認およびアーカイブして、バケットをパブリックまたは共有のままにするつもりであることを記録できます。これらのバケット設定は、いつでも確認および変更できます。監査の目的で、S3 の Access Analyzer の解析結果を CSV レポートとしてダウンロードできます。
S3 マネジメントコンソールを開始する前に、IAM コンソールにアクセスして、AWS Identity and Access Management (IAM) Access Analyzer を有効にします。こうすることで自動的に、S3 の Access Analyzer が S3 マネジメントコンソールの中に表示されるようになります。S3 の Access Analyzer は、re:Invent 2019 にて本日リリースされた IAM Access Analyzer に基づいています。
S3 の AWS マネジメントコンソール において、S3 の Access Analyzer には、2 組のバケットが表示されます。パブリックに共有されるバケットと、組織外部の AWS アカウントを含む他の AWS アカウントと共有されるバケットです。パブリックに共有されるバケットは、インターネット上の誰でもアクセスできます。共有アクセスのソース (ACL、バケットポリシー、またはその両方)、および共有アクセスのタイプ (読み込み、書き込み、リスト、権限など) についての洞察も得ることができます。注意が必要なバケットは、アクティブなステータスのものです。3 つの内のいずれかの簡単な方法で、バケットへの不正アクセスを迅速に修正できます。
まず、パブリックのバケットを選択し、S3 コンソールページの Access Analyzer でデフォルトとなっている [すべてのパブリックアクセスをブロックする] ボタンをクリックします。これにより、バケットへのパブリックアクセスを即座に停止します。バケットへのすべてのパブリックアクセスをブロックするようにお勧めします。
次に、リスト内からバケット名をクリックして、S3 コンソール内のそのバケットの権限ページを開きます。ここから、パブリックアクセスを許可している ACL またはポリシーを検査し、設定に必要な変更を加えることができます。
たとえば静的なウェブサイトホスティングやリソースのクロスアカウント共有など、パブリックアクセスを必要とする特定のユースケースがある場合、アクセスをそのまま維持するつもりであることを承認したバケットの解析結果をアーカイブできます。アーカイブされた解析結果のあるバケットは、引き続き S3 の Access Analyzer コンソールページに表示されるため、どのバケットが共有されているかを常に把握できます。アクセス要件が変更された場合や、解析結果を誤ってアーカイブした場合も、上記の手順を使用して、いつでもこれらのバケットにアクセスして再設定できます。また、S3 コンソールから CSV レポートをダウンロードして、経時的にストレージアクセスへの変更を追跡および監査することもできます。
S3 の Access Analyzer は、AWS 中国 (北京) リージョンと AWS 中国 (寧夏) リージョンを除くすべての商用 AWS リージョンの S3 マネジメントコンソールで利用できます。追加費用はかかりません。S3 の Access Analyzer は、AWS GovCloud (米国) リージョンの API でも利用できます。
有効にすると、バケットに関する解析結果と洞察を S3 の AWS マネジメントコンソールで確認できるようになります。コメントに S3 の Access Analyzer に対するフィードバックがあった場合や、別のユースケースを見つけた場合は、お知らせください。