今すぐ有効化しましょう。 既存の、および今後の S3 データへのパブリックアクセスすべてをブロックしましょう
Amazon S3 にデータを保存し、S3 パブリックアクセスブロックを使用して不正アクセスからデータを保護します。Amazon S3 は S3 パブリックアクセスブロック を使用して、バケットレベルまたはアカウントレベルで、既存および今後すべてのオブジェクトへのパブリックアクセスをブロックできる唯一のオブジェクトストレージサービスです。
すべての S3 バケットとオブジェクトへのパブリックアクセスを確実にブロックするには、[すべてのパブリックアクセスをブロック] を有効化します。S3 マネジメントコンソールでの数回のクリックで、S3 ブロックパブリックアクセスをアカウント内のあらゆるバケット (既存のバケットと今後作成する新しいバケットの両方) に対して適用でき、オブジェクトにパブリックアクセスが発生しないよう設定できます。 S3 パブリックアクセスブロックは、すべての新しいバケットでデフォルトで有効になっています
S3 パブリックアクセスブロック
S3 パブリックアクセスブロックでは、AWS アカウント全体または各 S3 バケットレベルでの制御が可能となり、現在も今後もオブジェクトがパブリックアクセスを受けないようにします。
パブリックアクセス権は、アクセスコントロールリスト (ACL)、バケットポリシー、またはその両方を介してバケットとオブジェクトに付与されます。すべての S3 バケットとオブジェクトへのパブリックアクセスを確実にブロックするには、「アカウントレベルですべてのパブリックアクセスをブロック」を有効化します。これらの設定は、アカウント全体の既存および将来作成するバケットに適用されます。
AWS では「すべてのパブリックアクセスをブロック」を有効化することを推奨していますが、これらの設定を適用する前に、パブリックアクセスがなくてもアプリケーションが正常に動作することを確認してください。バケットやオブジェクトに一定のレベルのパブリックアクセスが必要な場合は、以下の個別設定をカスタマイズして、特定のストレージのユースケースに合わせて設定することができます。
すべての新しいバケットでは、ブロックパブリックアクセスがデフォルトで有効になっています。アカウント内の既存のすべてのバケットへのアクセスを制限するには、アカウントレベルでパブリックアクセスをブロックを有効にします。S3 パブリックアクセスブロックを設定すると、パブリックアクセスを許可する S3 のアクセス権限が上書きされるため、アカウント管理者は、オブジェクトの追加方法やバケットの作成方法に関係なく、セキュリティ設定のばらつきを防ぐための集中管理を簡単に設定できます。
S3 パブリックアクセスブロックが有効になった状態で AWS アカウントまたは S3 バケットにオブジェクトが書き込まれ、そのオブジェクトが ACL またはポリシーを介して任意のタイプのパブリックアクセス許可を指定する場合、それらのパブリックアクセス許可はブロックされます。
S3 パブリックアクセスブロックは、S3 コンソールに加えて、AWS CLI、SDK、または REST API を介して有効にできます。各オプションの詳細な手順は、S3 パブリックアクセスブロックのドキュメントで確認できます。S3 コンソールでパブリックバケットをいつでも確認できます (パブリックアクセス許可を有するオブジェクトを含むバケットにわかりやすい印が付いています)。また、無料の AWS Trusted Advisor の S3 バケットアクセス許可チェックを使用して、バケットがパブリックになっている場合に通知を受け取ることもできます。
15 分間の Amazon S3 パブリックアクセスブロックオンライントレーニングコースを受講して、お使いの S3 アカウントまたはバケットへのパブリックアクセスをブロックします。
仕組み
関連するブログ記事
AWS ニュースブログ
Amazon S3 パブリックアクセスブロック – アカウントとバケットのための追加保護
Amazon S3 パブリックアクセスブロックは、アカウントレベル、また将来作成するものを含め、各バケットで動作する新しいレベルの保護を提供します。既存のパブリックアクセスをブロックし (ACL やポリシーで指定されていたかどうかに関わらず)、新しく作成されたアイテムにパブリックアクセス権が付与されないようにすることができます。
Werner Vogel 氏のブログ
自動推論による大規模環境セキュリティの提供
Zelkova は、Amazon S3 パブリックアクセスブロック機能を強化しています。パブリックアクセスブロックは、Amazon S3 のバケットやオブジェクトのパブリックアクセスコントロールリスト (ACL) を無効化します。また、パブリックアクセスを許可するバケットポリシーも無効化します。パブリックアクセスを許可する既存のポリシーに対して、この機能はバケットのアカウント以外からのアクセスを禁止します。
AWS ストレージブログ
Amazon S3 パブリックアクセスブロックと S3 オブジェクトロックの使い方を学ぶ
S3 がこれほどまでに成功を収めてきた理由の 1 つは、最初からデータセキュリティに重きを置いてきたことです。ストレージセキュリティの水準を高めるため継続的に投資を行っています。ストレージをシンプルに保つという私たちの使命を守りながらも、お客様と協力して増え続けるセキュリティのニーズに対応してまいります。
AWS ニュースブログ
AWS Config 更新 – S3 バケットを保護する新しいマネージドルール
本日、S3 バケットを保護するのに役立つ 2 つの新しいマネージドルールを追加します。これらのルールはワンクリックで有効にすることができます。2 つの新しいルールは、「S3 バケットのパブリック書き込み禁止」と「S3 バケットのパブリック読み取り禁止」です。グローバル書き込みおよびグローバル読み取りアクセスを許可するバケットを自動的に識別します。
