Amazon S3 ブロックパブリックアクセス

今すぐ有効化しましょう。 既存の、および今後の S3 データへのパブリックアクセスすべてをブロックしましょう

概要

Amazon S3 にデータを保存し、S3 パブリックアクセスブロックを使用して不正アクセスからデータを保護します。Amazon S3 は S3 パブリックアクセスブロックを使用して、バケットレベルまたはアカウントレベルで、既存および今後すべてのオブジェクトへのパブリックアクセスをブロックできる唯一のオブジェクトストレージサービスです。

すべての S3 バケットとオブジェクトへのパブリックアクセスを確実にブロックするには、[すべてのパブリックアクセスをブロック] をオンにします。S3 マネジメントコンソールでの数回のクリックで、S3 ブロックパブリックアクセスをアカウント内のあらゆるバケット (既存のバケットと今後作成する新しいバケットの両方) に対して適用でき、オブジェクトにパブリックアクセスが発生しないよう設定できます。 S3 パブリックアクセスブロックは、すべての新しいバケットでデフォルトで有効になっています

S3 パブリックアクセスブロック

S3 パブリックアクセスブロックでは、AWS アカウント全体または各 S3 バケットレベルでの制御が可能となり、現在も今後もオブジェクトがパブリックアクセスを受けないようにします。

パブリックアクセス権は、アクセスコントロールリスト (ACL)、バケットポリシー、またはその両方を介してバケットとオブジェクトに付与されます。すべての S3 バケットとオブジェクトへのパブリックアクセスを確実にブロックするには、[アカウントレベルですべてのパブリックアクセスをブロック] をオンにします。これらの設定は、アカウント全体の既存および将来作成するバケットに適用されます。

AWS では「すべてのパブリックアクセスをブロック」を有効化することを推奨していますが、これらの設定を適用する前に、パブリックアクセスがなくてもアプリケーションが正常に動作することを確認してください。バケットやオブジェクトに一定のレベルのパブリックアクセスが必要な場合は、以下の個別設定をカスタマイズして、特定のストレージのユースケースに合わせて設定することができます。

すべての新しいバケットでは、ブロックパブリックアクセスがデフォルトで有効になっています。アカウント内の既存のすべてのバケットへのアクセスを制限するには、アカウントレベルでパブリックアクセスをブロックを有効にします。S3 パブリックアクセスブロックを設定すると、パブリックアクセスを許可する S3 のアクセス権限が上書きされるため、アカウント管理者は、オブジェクトの追加方法やバケットの作成方法に関係なく、セキュリティ設定のばらつきを防ぐための集中管理を簡単に設定できます。

S3 パブリックアクセスブロックが有効になった状態で AWS アカウントまたは S3 バケットにオブジェクトが書き込まれ、そのオブジェクトが ACL またはポリシーを介して任意のタイプのパブリックアクセス許可を指定する場合、それらのパブリックアクセス許可はブロックされます。 

S3 パブリックアクセスブロックは、S3 コンソールに加えて、AWS CLI、SDK、または REST API を介して有効にできます。各オプションの詳細な手順は、S3 パブリックアクセスブロックのドキュメントで確認できます。S3 コンソールでパブリックバケットをいつでも確認できます (パブリックアクセス許可を有するオブジェクトを含むバケットにわかりやすい印が付いています)。また、無料の AWS Trusted Advisor の S3 バケットアクセス許可チェックを使用して、オープン状態のバケットがある場合に通知を受け取ることもできます。

15 分間の Amazon S3 パブリックアクセスブロックオンライントレーニングコースを受講して、ご使用の S3 アカウントまたはバケットへのパブリックアクセスをブロックしましょう。

仕組み

関連するブログ記事