投稿日: Nov 14, 2022
Amazon S3 サーバーアクセスログと AWS CloudTrail ログで、まもなく、承認の実行時にアクセスコントロールリスト (ACL) に依存している S3 リクエストを特定するための情報が追加されます。数週間以内に有効化されるこの機能では、ACL を無効化する S3 のセキュリティベストプラクティスを適用するプロセスを簡素化する情報が提供されます。
Amazon S3 は 2006 年にリリースされ、S3 バケットとオブジェクトにアクセス権を付与する方法としてアクセスコントロールリストが採用されていました。2011 年以降は、AWS Identity and Access Management (IAM) のサポートも追加されました。本日より、Amazon S3 の大半のユースケースで ACL が不要となり、代わって、IAM ポリシーにより安全性とスケーラビリティがより向上した方法が提供されます。そのため、セキュリティベストプラクティスとして、当社は ACL を無効化することを推奨します。Amazon S3 サーバーアクセスログと AWS CloudTrail に新たに追加される情報を使用すれば、データへのアクセス時に ACL に依存している既存のアプリケーションやアクセスパターンを特定することができ、S3 バケットで ACL を無効化する前に、これらのアクセス許可を IAM ポリシーに移行させることができます。
本機能は、AWS GovCloud (米国) リージョンと AWS 中国リージョンを含むすべての AWS リージョンでご利用いただけます。ログファイルの保存、およびログファイルへのアクセスには、AWS CloudTrail の料金と Amazon S3 の料金が適用されます。すべての AWS リージョンでこの機能が有効化された後、その使用方法を紹介するブログ記事が公開される予定です。詳細については、Amazon S3 サーバーアクセスログと AWS CloudTrail のユーザーガイドを参照してください。