Amazon Web Services ブログ

新規 – Amazon EBS スナップショットのパブリック共有をブロック

Amazon Elastic Block Store (Amazon EBS) スナップショットのパブリック共有を、リージョンごと、アカウントごとに無効にできるようになりました。これにより、偶発的または不注意によるデータ漏えいに対する保護レベルが向上します。

EBS スナップショットレビュー
2008 年の EBS の発売以来、EBS スナップショットを作成する権限を持っており、2009 年以来、非公開または公開で共有することができます。スナップショットの大部分はプライベートに保たれ、定期的なバックアップ、データ移行、ディザスタリカバリのために使用されます。ソフトウェアベンダーは、パブリックスナップショットを使用して、試用版のソフトウェアとテストデータを共有します。

公開共有をブロック
EBS スナップショットは常にデフォルトでプライベートになっており、必要に応じて個々のスナップをパブリックにするオプションがあります。現在パブリックスナップショットを使用しておらず、使用する予定もない場合、AWS マネジメントコンソールAWS コマンドラインインターフェイス (AWS CLI)、または新しい EnableSnapshotBlockPublicAccess 関数を使用してパブリック共有を無効にできるようになりました。コンソールを使用して EC2 ダッシュボードにアクセスし、「アカウント属性」ボックスで「データ保護とセキュリティ」をクリックします。

次に、新しい「EBS スナップショットのパブリックアクセスをブロック」セクションまでスクロールダウンし、現在のステータスを確認して、「管理」をクリックします。

公開アクセスをブロック」をクリックし、「すべての公開共有をブロック」を選択し、「更新」をクリックします。

これはリージョンごとの設定で、数分以内に有効になります。更新されたステータスはコンソールで確認できます。

私の地域のスナップショットの1つを検査し、公に共有することができないことを見ます。

ご覧のとおり、スナップショットを特定の AWS アカウントと共有することはできます。

すべての公開共有をブロック」を選択した場合、他の AWS カスタマーが「DescribeSnapshots」を呼び出して一般にアクセス可能なスナップショットを取得する際に、私が以前に共有したスナップショットはリストされなくなります。

知っておくべきこと
この新機能について知っておくべき重要な点をいくつかご紹介します。

地域レベル – これは地域設定であり、スナップショットを公開共有する機能をブロックしたい各地域で適用する必要があります。

API 機能と IAM 権限EnableSnapshotBlockPublicAccess に加えて、この機能を管理する他の関数には DisableSnapshotBlockPublicAccessGetSnapshotBlockPublicAccessState があります。これらの機能 (またはコンソール/CLI に相当する機能) を使用するには、ec2:EnableSnapshotBlockPublicAccessec2:DisableSnapshotBlockPublicAccessec2:GetSnapshotBlockPublicAccessState の IAM 権限が必要です。

AMI – これは、Amazon マシンイメージ (AMI) をパブリックに共有する機能には影響しません。AMI の公開共有を管理する方法については、「AMI への公開アクセスをブロック」をご覧ください。

Jeff;

原文はこちらです。