今すぐ有効化しましょう。 既存の、および今後の S3 データへのパブリックアクセスすべてをブロックしましょう
Amazon S3 にデータを保存し、S3 パブリックアクセスブロックを使用して不正アクセスからデータを保護します。Amazon S3 は S3 パブリックアクセスブロック を使用して、バケットレベルまたはアカウントレベルで、既存および今後すべてのオブジェクトへのパブリックアクセスをブロックできる唯一のオブジェクトストレージサービスです。
すべての S3 バケットとオブジェクトへのパブリックアクセスを確実にブロックするには、[すべてのパブリックアクセスをブロック] を有効化します。S3 マネジメントコンソールでの数回のクリックで、S3 ブロックパブリックアクセスをアカウント内のあらゆるバケット (既存のバケットと今後作成する新しいバケットの両方) に対して適用でき、オブジェクトにパブリックアクセスが発生しないよう設定できます。 S3 パブリックアクセスブロックは、すべての新しいバケットでデフォルトで有効になっています
S3 パブリックアクセスブロック
S3 パブリックアクセスブロックでは、AWS アカウント全体または各 S3 バケットレベルでの制御が可能となり、現在も今後もオブジェクトがパブリックアクセスを受けないようにします。
パブリックアクセス権は、アクセスコントロールリスト (ACL)、バケットポリシー、またはその両方を介してバケットとオブジェクトに付与されます。すべての S3 バケットとオブジェクトへのパブリックアクセスを確実にブロックするには、「アカウントレベルですべてのパブリックアクセスをブロック」を有効化します。これらの設定は、アカウント全体の既存および将来作成するバケットに適用されます。
AWS では「すべてのパブリックアクセスをブロック」を有効化することを推奨していますが、これらの設定を適用する前に、パブリックアクセスがなくてもアプリケーションが正常に動作することを確認してください。バケットやオブジェクトに一定のレベルのパブリックアクセスが必要な場合は、以下の個別設定をカスタマイズして、特定のストレージのユースケースに合わせて設定することができます。
すべての新しいバケットでは、ブロックパブリックアクセスがデフォルトで有効になっています。アカウント内の既存のすべてのバケットへのアクセスを制限するには、アカウントレベルでパブリックアクセスをブロックを有効にします。S3 パブリックアクセスブロックを設定すると、パブリックアクセスを許可する S3 のアクセス権限が上書きされるため、アカウント管理者は、オブジェクトの追加方法やバケットの作成方法に関係なく、セキュリティ設定のばらつきを防ぐための集中管理を簡単に設定できます。
S3 パブリックアクセスブロックが有効になった状態で AWS アカウントまたは S3 バケットにオブジェクトが書き込まれ、そのオブジェクトが ACL またはポリシーを介して任意のタイプのパブリックアクセス許可を指定する場合、それらのパブリックアクセス許可はブロックされます。
S3 パブリックアクセスブロックは、S3 コンソールに加えて、AWS CLI、SDK、または REST API を介して有効にできます。各オプションの詳細な手順は、S3 パブリックアクセスブロックのドキュメントで確認できます。S3 コンソールでパブリックバケットをいつでも確認できます (パブリックアクセス許可を有するオブジェクトを含むバケットにわかりやすい印が付いています)。また、無料の AWS Trusted Advisor の S3 バケットアクセス許可チェックを使用して、バケットがパブリックになっている場合に通知を受け取ることもできます。
仕組み
関連するブログ記事
AWS ニュースブログ
Amazon S3 パブリックアクセスブロック – アカウントとバケットのための追加保護
Amazon S3 パブリックアクセスブロックは、アカウントレベル、また将来作成するものを含め、各バケットで動作する新しいレベルの保護を提供します。既存のパブリックアクセスをブロックし (ACL やポリシーで指定されていたかどうかに関わらず)、新しく作成されたアイテムにパブリックアクセス権が付与されないようにすることができます。
AWS ニュースブログ
注意: Amazon S3 のセキュリティは 2023 年 4 月に変更される予定
2023 年 4 月から、Amazon S3 に対して 2 つの変更を行い、バケットセキュリティに関する最新のベストプラクティスを自動的に有効にする予定です。対象となるリージョンにこの変更が適用されると、そのリージョンで新たに作成されるすべてのバケットは、デフォルトで S3 ブロックパブリックアクセスが有効になり、ACL は無効になります。
AWS ストレージブログ
Amazon S3 パブリックアクセスブロックと S3 オブジェクトロックの使い方を学ぶ
S3 がこれほどまでに成功を収めてきた理由の 1 つは、最初からデータセキュリティに重きを置いてきたことです。ストレージセキュリティの水準を高めるため継続的に投資を行っています。ストレージをシンプルに保つという私たちの使命を守りながらも、お客様と協力して増え続けるセキュリティのニーズに対応してまいります。
AWS ニュースブログ
AWS Config 更新 – S3 バケットを保護する新しいマネージドルール
本日、S3 バケットを保護するのに役立つ 2 つの新しいマネージドルールを追加します。これらのルールはワンクリックで有効にすることができます。2 つの新しいルールは、「S3 バケットのパブリック書き込み禁止」と「S3 バケットのパブリック読み取り禁止」です。グローバル書き込みおよびグローバル読み取りアクセスを許可するバケットを自動的に識別します。
