他にはないセキュリティ、コンプライアンス、および監査機能

データを Amazon S3 に保存し、暗号化機能とアクセス管理ツールを使用して不正なアクセスからデータを保護します。S3 は S3 Block Public Access を使用して、バケットレベルまたはアカウントレベルで、すべてのオブジェクトへのパブリックアクセスをブロックできる唯一のオブジェクトストレージサービスです。S3 は PCI-DSS、HIPAA/HITECH、FedRAMP、EU データ保護指令、および FISMA などのコンプライアンスプログラムを維持し、規制要件を満たしています。AWS では、S3 リソースへのアクセスリクエストをモニタリングするための監査機能も多数サポートしています。

Simple Storage Service (Amazon S3) セキュリティを大規模に管理する (34:56)

Amazon S3 のセキュリティとアクセス管理

デフォルトでは、Amazon S3 のデータを保護するために、ユーザーは作成した S3 リソースにのみアクセスすることができます。次のアクセス管理機能のいずれか、または組み合わせを使用して、他のユーザーにアクセス権を付与することができます: AWS Identity and Access Management (IAM) (ユーザーの作成とアクセス権の管理)、アクセスコントロールリスト (ACL) (認証されたユーザーによる個々のオブジェクトへのアクセスを許可)、バケットポリシー (1 つの S3 バケット内のすべてのオブジェクトに対するアクセス許可を設定)、クエリ文字列認証 (一時 URL を使用して他のユーザーに制限付きアクセスを付与)。Amazon S3 では、S3 リソースに対して行われたリクエストを一覧表示する監査ログもサポートしており、アクセスしたユーザーとアクセスされたデータを明確に把握することができます。

ブロックパブリックアクセス

ブロックパブリックアクセス

S3 マネジメントコンソールでの数回のクリックで、S3 ブロックパブリックアクセスをアカウント内のあらゆるバケット (既存のバケットと今後作成する新しいバケットの両方) に対して適用でき、オブジェクトにパブリックアクセスが発生しないよう設定できます。S3 パブリックアクセスブロックを設定すると、パブリックアクセスを許可する S3 のアクセス権限が上書きされるため、アカウント管理者は、オブジェクトの追加方法やバケットの作成方法に関係なく、セキュリティ設定のばらつきを防ぐための集中管理を簡単に設定できます。

オブジェクトロック

オブジェクトロック

Amazon S3 オブジェクトロックは、お客様が指定した保持期間中、オブジェクトバージョンが削除されないようにする機能です。データ保護を一層強化するために、または規制コンプライアンスを遵守するために、ファイル保持ポリシーを強制的に適用できます。事前定義されたリテンション期日またはリーガルホールド期日以前のオブジェクトバージョンの削除を防ぐには、ワークロードを既存の Write Once Read Many (WORM) システムから Amazon S3 に移行し、S3 オブジェクトロックをオブジェクトレベルおよびバケットレベルで設定します。

Object Ownership

Object Ownership

Amazon S3 Object Ownership はアクセスコントロールリスト (ACL) を無効にし、すべてのオブジェクトの所有権をバケット所有者に変更し、S3 に保存されているデータのアクセス管理を簡素化します。 S3 Object Ownership バケット所有者強制設定を構成すると、ACL はバケットとその中のオブジェクトのアクセス許可に影響を与えなくなります。すべてのアクセスコントロールは、リソースベースのポリシー、ユーザーポリシー、またはこれらの組み合わせを使用して定義されます。詳細については、Object Ownership の制御を参照してください。

ID およびアクセス管理

cloud-security-identity-directoryservices

デフォルトでは、すべての Amazon S3 リソース (バケット、オブジェクト、および関連するサブリソース) はプライベートです。リソースの所有者、つまりそれを作成した AWS アカウントのみがリソースにアクセスできます。Amazon S3 は、リソースベースのポリシーとユーザーポリシーとして大まかに分類されたアクセスポリシーオプションを提供します。リソースベースのポリシー、ユーザーポリシー、またはこれらの組み合わせを使用して、Amazon S3 リソースへのアクセス許可を管理することを選択できます。 デフォルトでは、S3 オブジェクトは、オブジェクトを作成したアカウントによって所有されます。これには、このアカウントがバケット所有者と異なる場合も含まれます。S3 Object Ownership を使用して、アクセスコントロールリストを無効にし、この動作を変更できます。その場合、バケット内の各オブジェクトはバケット所有者によって所有されます。 詳細については、Amazon S3 の Identity and Access Management を参照してください

Amazon Macie

Site-Merch_Macie_Tile

Amazon Macie を使用して Amazon S3 で機密データを大規模に検出して保護します。Macie は、バケットをスキャンしてデータを識別および分類することにより、S3 バケットの完全なインベントリを自動的に提供します。お客様は、個人識別可能情報 (PII) (顧客名やクレジットカード番号など) や、GDPR や HIPAA などのプライバシー規制によって定義されたカテゴリなど、これらの機密データタイプに適合するデータを列挙した、セキュリティに関する実用的な検出結果を受け取ります。Macie はまた、暗号化されていない、一般公開されている、または組織外のアカウントと共有されているバケットのバケットレベルの予防的制御を自動的かつ継続的に評価します。これにより、お客様は、バケットの意図しない設定にすばやく対処できるようにします。

暗号化

cloud-security-identity-sso

Amazon S3 は、サーバー側の暗号化 (3 つのキー管理オプション付き: SSE-KMS、SSE-C、SSE-S3) とクライアント側の暗号化 (データアップロード用) をいずれもサポートしています。Amazon S3 は、アクセス許可のないユーザーによるデータへのアクセスをブロックする柔軟なセキュリティ機能を提供します。VPC エンドポイントを使用して Amazon Virtual Private Cloud (Amazon VPC) から S3 リソースに接続します。S3 オブジェクトの暗号化ステータスを確認するには、S3 Inventory を使用します (S3 Inventory の詳細についてはストレージ管理を参照)。

AWS Trusted Advisor

AWS Trusted Advisor

Trusted Advisor は、AWS 環境を検査し、セキュリティギャップを埋めるのに役立つ機会が存在する場合に推奨事項を提示します。 

Trusted Advisor は、Amazon S3 バケットのログ設定、オープンアクセスのアクセス許可を持つ Amazon S3 バケットのセキュリティチェック、バージョニングが有効になっていない、またはバージョニングが一時停止されている Amazon S3 バケットの耐障害性チェックといった Amazon S3 関連のチェックを備えています。

AWS PrivateLink for S3

AWS PrivateLink for S3 を使用して、安全な仮想ネットワーク内のプライベートエンドポイントとして Amazon S3 に直接アクセスします。Virtual Private Cloud (VPC) のプライベート IP アドレスを使用して、オンプレミスまたはクラウドから S3 に接続することにより、ネットワークアーキテクチャを簡素化します。オンプレミスから S3 にアクセスするために、パブリック IP を使用したり、ファイアウォールルールを設定したり、インターネットゲートウェイを設定したりする必要がなくなりました。

データの完全性を検証する

データの完全性を検証する

サポートされた 4 つのチェックサムアルゴリズム (SHA-1、SHA-256、CRC32、または CRC32C) から選択し、アップロードおよびダウンロードの要求のデータの完全性をチェックします。Simple Storage Service (Amazon S3) からデータを保存または取得するときにチェックサムを自動的に計算および検証し、GetObjectAttributes S3 API または S3 Inventory レポートを使用していつでもチェックサム情報にアクセスします。

仕組み

  • AWS PrivateLink for Amazon S3
  • Amazon Macie
  • S3 ブロックパブリックアクセス
  • Amazon GuardDuty for S3
  • AWS PrivateLink for Amazon S3
  • オンプレミスから Amazon S3 への直接プライベート接続を確立します。使用を開始するには、AWS PrivateLink for S3 のドキュメントをお読みください。 

    AWS PrivateLink for S3 によるセキュリティ
  • Amazon Macie
  • 機密データを大規模に検出して保護します。Amazon Macie の使用を開始するには、ウェブサイトにアクセスしてください。

    Amazon Macie によるセキュリティ
  • S3 ブロックパブリックアクセス
  • 現在および将来において、Amazon S3 へのすべてのパブリックアクセスをブロックします。S3 ブロックパブリックアクセスの詳細については、ウェブページにアクセスしてください。

    S3 ブロックパブリックアクセスによるセキュリティ
  • Amazon GuardDuty for S3
  • インテリジェントな脅威検出と継続的なモニタリングにより、Amazon S3 データを保護します。Amazon GuardDuty for Amazon S3 の詳細については、ウェブページにアクセスしてください。

    Amazon GuardDuty for S3 によるセキュリティ

セキュリティとアクセス管理のチュートリアルビデオ

作成時およびデフォルトでは、すべての S3 リソースはプライベートであり、リソース所有者もしくはアカウント管理者のみがアクセスできます。このセキュリティ設計により、組織、ガバナンス、セキュリティ、およびコンプライアンスの各要件に合わせて、きめ細かくアクセスポリシーを設定できます。S3 ブロックパブリックアクセスを使用して、データへのすべてのアクセス要求を制限できます。S3 では、さまざまな暗号化オプションから選択することもできます。以下の動画で詳細をご覧ください。

アクセス管理およびセキュリティ

S3 アクセス管理およびセキュリティの概要

S3 暗号化オプション

S3 暗号化オプション

デベロッパーガイド: 暗号化を使用したデータの保護 »
(サーバー側およびクライアント側のオプションに関する詳細)

S3 セキュリティブログ

AWS ニュースブログ


Amazon Macie の料金が大幅に引き下げ

Amazon Macie は、機械学習を使用してデータを自動的に検出および分類し、機密データの検出と保護を支援するフルマネージドサービスです。 料金設定が簡素化されました。評価される S3 バケットの数と、機密データ検出ジョブのために処理されるデータの量に基づいて課金されるようになりました。 

ブログを読む »

AWS ニュースブログ


S3 ブロックパブリックアクセス – アカウントとバケットのための保護

Amazon S3 パブリックアクセスブロックは、アカウントレベル、また将来作成するものを含め、各バケットで動作する新しいレベルの保護を提供します。既存のパブリックアクセスをブロックし (ACL やポリシーで指定されていたかどうかに関わらず)、新しく作成されたアイテムにパブリックアクセス権が付与されないようにすることができます。

ブログを読む »

Werner Vogel 氏のブログ


自動推論による大規模環境セキュリティの提供

Zelkova は、Amazon S3 パブリックアクセスブロック機能を強化しています。パブリックアクセスブロックは、Amazon S3 のバケットやオブジェクトのパブリックアクセスコントロールリスト (ACL) を無効化します。また、パブリックアクセスを許可するバケットポリシーも無効化します。パブリックアクセスを許可する既存のポリシーに対して、この機能はバケットのアカウント以外からのアクセスを禁止します。

ブログを読む »

AWS ストレージブログ


Amazon S3 ブロックパブリックアクセスと S3 オブジェクトロック

S3 がこれほどまでに成功を収めてきた理由の 1 つは、最初からデータセキュリティに重きを置いてきたことです。ストレージセキュリティの水準を高めるため継続的に投資を行っています。ストレージをシンプルに保つという私たちの使命を守りながらも、お客様と協力して増え続けるセキュリティのニーズに対応してまいります。

ブログを読む »
Standard Product Icons (Features) Squid Ink
Amazon S3 の詳細

Amazon S3 の機能の詳細はこちら。

詳細 
Sign up for a free account
無料のアカウントにサインアップ

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
Standard Product Icons (Start Building) Squid Ink
コンソールで構築を開始する

AWS マネジメントコンソールで Amazon S3 を使った構築を始めましょう。

サインイン