新機能:Amazon S3においてACL設定の不備による情報漏洩を完全に阻止可能となりました

シェアする

Voiced by Amazon Polly

設定方法

AWSマネジメントコンソールを開き、Amazon S3を開いてください。
その後、画面左側でPublic access settings for this account(このアカウントのパブリックアクセス設定)をクリックします。この操作では、アカウント単位での設定ができます。
設定項目は4つあります。順に解説していきます。

Block new public ACLs and uploading public objects

新規のパブリック ACL と、パブリックオブジェクトのアップロードをブロックする

新たにパブリックアクセス可能なオブジェクトをアップロードできないようにします。また、既存のオブジェクトにパブリックアクセス可能な属性を付与することもできないようにします。
既存のパブリックオブジェクトには影響ありません

Remove public access granted through public ACLs

パブリック ACL を通じて付与されたパブリックアクセスを削除する

アカウント内のすべてのオブジェクトに対し、パブリックアクセスを禁止します。たとえパブリックアクセス可能な属性が付与されていても、この設定が有効な場合はアクセスが拒否されます。

Block new public bucket policies

新規のパブリックバケットポリシーをブロックする

バケットポリシーで、新たにパブリックアクセス可能な属性を付与できないようにします。
既存のポリシーには影響ありません

Block public and cross-account access to buckets that have public policies

パブリックポリシーを持つバケットへのパブリックアクセスとクロスアカウントアクセスをブロックする

バケットポリシーで許可されていても、当該バケットとそのオブジェクトに当該AWSアカウントとAWSサービス以外からのアクセスができないようにします。
別のAWSアカウントからのアクセス許可やパブリックアクセスが有効な場合でも、それらは禁止されているものとしてみなされます。

別のAWSアカウントからバケットにアクセスしている場合、このポリシーが有効となっているとアクセスが拒否され、アプリケーションが動作しなくなる場合がある恐れがあるため設定にご注意ください。

バケット単位で設定する

バケット単位で設定する場合、当該バケットを開き、Permissions(アクセス権限)→Public access settings(パブリックアクセス設定)から変更できます。
または、S3バケット一覧画面からバケットを選択し、Edit public access settings(パブリックアクセス設定を編集する)から一括で変更することもできます。

広告



設定範囲

アカウント単位とバケット単位で設定できます。両方設定した場合、アクセス制御の厳しい側に揃えられます。
アカウント単位で設定を行った場合、当該アカウント内のすべてのバケットに設定が適用されます。