Amazon S3 のセキュリティとアクセス管理

デフォルトでは、Amazon S3 のデータを保護するために、ユーザーは作成した S3 リソースにのみアクセスすることができます。次のアクセス管理機能のいずれか、または組み合わせを使用して、他のユーザーにアクセスを付与することができます: AWS Identity and Access Management (IAM) (ユーザーの作成とそれぞれのアクセスの管理)、アクセスコントロールリスト (ACL) (認可されたユーザーによる個々のオブジェクトへのアクセスを許可)、バケットポリシー (1 つの S3 バケット内のすべてのオブジェクトについての許可の設定)、クエリ文字列認証 (一時 URL を使用した、時間制限付きアクセスの他のユーザーへの付与)。Amazon S3 では、S3 リソースに対して行われたリクエストを一覧表示する監査ログもサポートしており、アクセスしたユーザーとアクセスされたデータを明確に把握することができます。

S3 マネジメントコンソールで数回クリックするだけで、S3 ブロックパブリックアクセスをアカウント内のあらゆるバケット (既存のバケットと今後作成する新しいバケットの両方) に対して適用でき、オブジェクトに対するパブリックアクセスが許可されないようにできます。すべての新しいバケットでは、ブロックパブリックアクセスがデフォルトで有効になっています。アカウント内の既存のすべてのバケットへのアクセスを制限するには、アカウントレベルでパブリックアクセスをブロックを有効にします。S3 パブリックアクセスブロックを設定すると、パブリックアクセスを許可する S3 のアクセス権限が上書きされるため、アカウント管理者は、オブジェクトの追加方法やバケットの作成方法に関係なく、セキュリティ設定のばらつきを防ぐための集中管理を簡単に設定できます。

Amazon S3 Object Lock は、お客様が定義した保持期間中にオブジェクトバージョンの削除をブロックし、データ保護の追加レイヤーとして、または規制コンプライアンスのために、保持ポリシーを強制適用できるようにします。事前定義されたリテンション期日またはリーガルホールド期日以前のオブジェクトバージョンの削除を防ぐには、ワークロードを既存の Write Once Read Many (WORM) システムから Amazon S3 に移行し、S3 Object Lock をオブジェクトレベルおよびバケットレベルで設定します。

Amazon S3 Object Ownership はアクセスコントロールリスト (ACL) を無効にし、すべてのオブジェクトの所有権をバケット所有者に変更し、S3 に保存されているデータのアクセス管理を簡素化します。 S3 Object Ownership バケット所有者強制設定を構成すると、ACL はバケットとその中のオブジェクトのアクセス許可に影響を与えなくなります。すべてのアクセス制御は、リソースベースのポリシー、ユーザー ポリシー、またはこれらの組み合わせを使用して定義されます。新しいバケットでは ACL は自動的に無効になります。IAM ベースのバケットポリシーに移行するときに S3 オブジェクトオーナーシップを有効にする前に、S3 インベントリを使用してバケット内の ACL の使用状況を確認できます。詳細については、「オブジェクトの所有権の制御」をご覧ください。

デフォルトでは、すべての Amazon S3 リソース (バケット、オブジェクト、および関連するサブリソース) はプライベートです。リソースの所有者、つまりそれを作成した AWS アカウントのみがリソースにアクセスできます。Amazon S3 は、リソースベースのポリシーとユーザーポリシーとして大まかに分類されたアクセスポリシーオプションを提供します。リソースベースのポリシー、ユーザーポリシー、またはこれらの組み合わせを使用して、Amazon S3 リソースへのアクセス許可を管理することを選択できます。 デフォルトでは、S3 オブジェクトは、オブジェクトを作成したアカウントによって所有されます。これには、このアカウントがバケット所有者と異なる場合も含まれます。S3 Object Ownership を使用して、アクセスコントロールリストを無効にし、この動作を変更できます。その場合、バケット内の各オブジェクトはバケット所有者によって所有されます。 詳細については、「Amazon S3 用 Identity and Access Management」をご覧ください。

Amazon Macie を使用して Amazon S3 で機密データを大規模に検出して保護します。Macie は、バケットをスキャンしてデータを識別および分類することにより、S3 バケットの完全なインベントリを自動的に提供します。お客様は、個人識別可能情報 (PII) (顧客名やクレジットカード番号など) や、GDPR や HIPAA などのプライバシー規制によって定義されたカテゴリなど、これらの機密データタイプに適合するデータを列挙した、セキュリティに関する実用的な検出結果を受け取ります。Macie はまた、暗号化されていない、一般公開されている、または組織外のアカウントと共有されているバケットのバケットレベルの予防的制御を自動的かつ継続的に評価します。これにより、お客様は、バケットの意図しない設定にすばやく対処できるようにします。

Amazon S3 は、すべてのバケットへのすべてのオブジェクトのアップロードを自動的に暗号化します。オブジェクトのアップロードについて、Amazon S3 は 4 つのキー管理オプションでサーバー側の暗号化をサポートします。SSE-S3 (基本レベルの暗号化)、DSSE-KMS、SSE-KMS、SSE-C、およびクライアント側の暗号化です。Amazon S3 は、アクセス許可のないユーザーによるデータへのアクセスをブロックする柔軟なセキュリティ機能を提供します。VPC エンドポイントを使用して Amazon Virtual Private Cloud (Amazon VPC) から S3 リソースに接続します。S3 オブジェクトの暗号化ステータスを確認するには、S3 インベントリを使用します (S3 インベントリの詳細については、ストレージ管理をご覧ください)。

動画: Amazon S3 データ暗号化の概要 »

Trusted Advisor は、AWS 環境を検査し、セキュリティギャップを埋めるのに役立つ機会が存在する場合に推奨事項を提示します。 

Trusted Advisor は、Amazon S3 バケットのログ設定、オープンアクセスのアクセス許可を持つ Amazon S3 バケットのセキュリティチェック、バージョニングが有効になっていない、またはバージョニングが一時停止されている Amazon S3 バケットの耐障害性チェックといった Amazon S3 関連のチェックを備えています。

AWS PrivateLink for S3 を使用して、安全な仮想ネットワーク内のプライベートエンドポイントとして Amazon S3 に直接アクセスします。Virtual Private Cloud (VPC) のプライベート IP アドレスを使用して、オンプレミスまたはクラウドから S3 に接続することにより、ネットワークアーキテクチャを簡素化します。オンプレミスから S3 にアクセスするために、パブリック IP を使用したり、ファイアウォールルールを設定したり、インターネットゲートウェイを設定したりする必要がなくなりました。

サポートされた 4 つのチェックサムアルゴリズム (SHA-1、SHA-256、CRC32、または CRC32C) から選択し、アップロードおよびダウンロードの要求のデータの完全性をチェックします。Amazon S3 からデータを保存または取得するときにチェックサムを自動的に計算および検証し、GetObjectAttributes S3 API または S3 Inventory レポートを使用していつでもチェックサム情報にアクセスします。

S3 データ完全性チェック入門チュートリアル

テックトーク: Get started with checksums in Amazon S3 for data integrity checking

ブログ: スケーラブルなチェックサムの構築

ブログ: Enabling and validating additional checksums on existing objects in Amazon S3