投稿日: Dec 2, 2019
Access Analyzer for S3 は、アクセスポリシーをモニタリングし、ポリシーによって S3 リソースへの意図したアクセスのみが提供されるようにする新しい機能です。Access Analyzer for S3 は、バケットアクセスポリシーを評価し、意図しないアクセスの可能性があるバケットを検出して迅速に修正できるようにします。
インターネット上のすべてのユーザーへのアクセスを許可するように構成されているバケット、または他の AWS アカウントと共有されているバケットがある場合、Access Analyzer for S3 は警告を発します。パブリックアクセスまたは共有アクセスのソースとレベルに関する洞察または「検出結果」を受け取ります。たとえば、Access Analyzer for S3 は、アクセスコントロールリスト (ACL) またはバケットポリシーを介して意図的に読み取りや書き込みアクセスが提供されているかどうかを事前に通知します。これらの洞察により、お望みのアクセスポリシーをすぐに設定または復元できます。
バケットへ潜在的に共有されたアクセスを示す結果を確認する場合、S3 マネジメントコンソールで 1 回クリックするだけで、バケットへのすべてのパブリックアクセスをブロックできます。また、バケットレベルのアクセス許可設定にドリルダウンして、きめ細かいアクセスレベルを構成することもできます。静的なウェブサイトホスティングなど、パブリックアクセスを必要とする特定の検証済みユースケースの場合、バケットの検出結果を確認およびアーカイブして、バケットをパブリックにするか共有する予定を記録できます。これらのバケット設定はいつでも再確認および変更できます。監査目的で、Access Analyzer for S3 の結果を CSV レポートとしてダウンロードできます。
Access Analyzer for S3 を開始するには、IAM コンソールにアクセスして、AWS Identity and Access Management (IAM) Access Analyzer を有効にします。これを行うと、Access Analyzer for S3 が S3 マネジメントコンソールに自動的に表示されます。
Access Analyzer for S3 は、AWS 中国 (北京) リージョンと AWS 中国 (寧夏) リージョンを除く、すべての商用 AWS リージョンにおいて S3 マネジメントコンソールでご利用いただけます。追加費用はかかりません。Access Analyzer for S3 は、AWS GovCloud (米国) リージョンの API からもご利用いただけます。
詳細については、ブログ記事をご覧ください。