投稿日: Nov 30, 2021

Amazon Simple Storage Service (S3) コンソールが、S3 ポリシーを作成するときに、Identity and Access Management (IAM) Access Analyzer からのセキュリティ警告、エラー、および提案をレポートするようになりました。コンソールは、ポリシーを検証するために 100 を超えるポリシーチェックを自動的に実行します。こうしたチェックは時間を節約し、エラーを解決するためのガイドとなり、セキュリティのベストプラクティスを適用するのに役立ちます。S3 コンソールによってレポートされたエラーやセキュリティ警告を解決することにより、ポリシーを S3 バケットまたはアクセスポイントにアタッチする前に、ポリシーが機能していることを検証できます。

ポリシーを保存する前に、ポリシーチェックは S3 コンソールのポリシーエディタで無効なアクションや欠落しているポリシー要素などの構文エラーにフラグを付けます。これにより、エラーが見つかったときに簡単に修正できます。また、こうしたチェックは、ポリシー要素の過度に許容的な組み合わせも識別します。例えば、コンソールは、過度に許容的なアクセスを許可できる要素を持つポリシーに対してセキュリティ警告をレポートします。

S3 コンソールに加えて、Access Analyzer API を使用して、プログラムで S3 ポリシーを検証することもできます。プログラムによる検証は、CI/CD パイプラインの一部としてポリシーのエラーやセキュリティに関する警告を特定するのに役立ち、ポリシー検証を大規模に実行できるようにします。

S3 コンソールおよび Access Analyzer API を介したポリシー検証 は、AWS GovCloud (米国)、Sinnet が運営する AWS 中国 (北京) リージョン、NWCD が運営する AWS 中国 (寧夏) リージョンなど、すべての AWS リージョンで追加費用なしで利用できます。詳細については、Access Analyzer ポリシー検証を参照してください。