Ioannis が、AWS Config を
使用して S3 バケットを
保護する方法について説明します

Ioannis_DUB_0518

インターネットからのパブリックアクセスが可能な Amazon Simple Storage Service (S3) バケットがどれなのかを判別したいのですが。その方法を教えてください。

S3 バケットへのパブリックアクセスが可能かどうかは、Amazon S3 コンソールのバケットのアクセス許可チェックを使うか、AWS Trusted Advisor の Amazon S3 バケットアクセス許可チェックを使って調べることができます。

AWS アカウントに多くの S3 バケットがある場合は、AWS Config を使用して、どのバケットが読み取りまたは書き込みのパブリックアクセスを許可されているのかを迅速に特定することができます。さらに、最初に確認した後で S3 バケットのパブリックアクセスが可能となった場合、それを通知するように AWS Config を設定することもできます。

パブリックアクセスが可能な S3 バケットにフラグを付けるという AWS Config のルールを作成するには、以下の手順に従います。

注意: S3 バケットの分析に AWS Config を使用する前に、必ず AWS アカウントで AWS Config の設定を行います。

  1. AWS Config コンソール (AWS Config コンソール) を開き、リージョンセレクターを、AWS Config のルールをサポートする AWS のリージョンに設定します。
    注意: AWS Config は、対応する AWS リージョンのバケットに対して、コンプライアンスの確認を行います。複数のリージョンにバケットがある場合は、それぞれのリージョンに AWS Config のルールを設定します。
  2. ナビゲーションペインで [Rules] を選択します。
  3. [+ ルールの追加] を選択します。
  4. 検索バーに "s3-bucket-public-read-prohibited" と入力します。それから、[s3-bucket-public-read-prohibited] ルールを選択します。このルールは、パブリック読み取りアクセスを許可するバケットに [非準拠] のフラグを付けます。
  5. [Save] を選択します。
  6. [+ ルールの追加] を選択します。
  7. 検索バーに "s3-bucket-public-write-prohibited" と入力します。それから、[s3-bucket-public-write-prohibited] ルールを選択します。このルールは、パブリック書き込みアクセスを許可するバケットに [非準拠] のフラグを付けます。
  8. [Save] を選択します。

新しいルールに基づいて AWS Config が S3 バケットの評価を完了するまで、数分かかる場合があります。AWS Config の評価が完了したら、AWS Config コンソール で [ルール] のページを開きます。それから、それぞれのルールを開き、どの S3 バケットに非準拠のフラグが付いているかを確認します。非準拠のバケットが、インターネットからのパブリック書き込みアクセスまたはパブリック読み取りアクセスを許可しているバケットです。

S3 バケットが非準拠 (書き込みまたは読み取りのパブリックアクセスを許可する状態) になったときに AWS Config から通知を受け取るように設定するには、「AWS Config が送信する通知」を参照してください。

S3 バケットのアクセス許可に関する詳細情報は、「バケットとオブジェクトのアクセス許可の設定」を参照してください。


このページは役に立ちましたか? はい | いいえ

AWS サポート ナレッジ センターに戻る

サポートが必要ですか? AWS サポートセンターをご覧ください。

公開日: 2018 年 6 月 4 日