投稿日: Dec 13, 2022
2023 年 4 月より、Amazon S3 に 2 つの新しいデフォルトのバケットセキュリティ設定を導入します。すべての新しい S3 バケットに対して自動的に S3 パブリックアクセスブロックが有効になり、S3 アクセスコントロールリスト (ACL) は無効にされます。これらのデフォルト設定は導入されると、AWS CLI、API、SDK、AWS CloudFormation などの作成方法に関係なく、すべての新しいバケットに適用されるようになります。これらのデフォルト設定はそれぞれ、2018 年と 2021 年に利用可能になって以降、S3 マネジメントコンソールで作成されたバケットに適用されてきました。これは、セキュリティのベストプラクティスとしても推奨されています。なお、既存のバケットに変更はありません。
Amazon S3 バケットがデフォルトでプライベートであることに変更はありません。バケット所有者のみがバケットにアクセスするか、他のユーザーにアクセス権を付与することもできます。Amazon S3 では、2018 年にパブリックアクセスブロックが追加され、S3 バケットへのパブリックアクセスを防止できるようになりました。2021 年にはACL を無効にする機能が追加され、よりシンプルで柔軟なアクセスコントロールの代替手段として AWS Identity and Access Management (IAM) ポリシーを使用できるようになりました。それ以降、幾百万ものお客様がこれらの設定をペストプラクティスとして適用して、バケットを保護し、アクセス管理を簡素化してきました。これらが新たにデフォルトの設定になることで、シンプルで安全なアクセス管理体制がすべての新しい S3 バケットに自動で拡張されます。
新しいデフォルト設定では、バケットをパブリックにアクセス可能にしたり、ACL を使用したりすることが必要な一部のアプリケーションで、意図的にバケットを公開するか ACL を使用するように設定する必要があります。そのような場合は、自動化スクリプト、AWS CloudFormation テンプレート、またはその他のインフラストラクチャ設定ツールを更新して、これらの設定を行う必要があります。変更に備える方法の詳細については、AWS ニュースブログの「Heads-Up: Amazon S3 Security Changes Are Coming in April of 2023」(お知らせ: 2023 年 4 月に予定されている Amazon S3 のセキュリティ変更) または S3 ユーザーガイドの「Default access settings for new S3 buckets FAQ」(新しい S3 バケットのデフォルトアクセス設定に関するよくある質問) を参照してください。
新しいデフォルトのセキュリティ設定は、AWS GovCloud リージョンと AWS 中国リージョンを含むすべての AWS リージョンの新しい S3 バケットすべてに適用されます。2023 年 4 月に変更のデプロイを開始する時点で最新情報に関する別の投稿を公開し、すべての AWS リージョンにデプロイを完了する時点でさらに別の投稿を公開します。詳細については、S3 ユーザーガイドの S3 パブリックアクセスのブロックと S3 オブジェクト所有権に関するセクションを参照してください。2 つの設定の詳細については、AWS CloudFormation ユーザーガイド (S3 Block Public Access - S3 Object Ownership (S3 パブリックアクセスブロック - S3 オブジェクトの所有権)) にも記載されています。