BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース AWS、2023年4月に予定されているAmazon S3のセキュリティ変更について発表

AWS、2023年4月に予定されているAmazon S3のセキュリティ変更について発表

先日AWSは、Amazon Simple Storage Service(Amazon S3)に対して、リージョン内のすべてのバケットでS3 Block Public Accessを有効にし、アクセス制御リスト(ACLs)をデフォルトで無効にするという2つの変更を発表した。これらの変更は2023年4月に適用され、数週間以内にすべてのAWSリージョンで展開される予定だ。

Amazon S3はAWS上のマネージドオブジェクトストレージサービスで、そのS3バケットとオブジェクトは常にデフォルトでプライベートになっていた。 同社は2018年にBlock Public Accessの機能を追加、2021年にはACLsを無効にする機能を追加し、ユーザーのアクセスコントロールの自由度を高めている。さらに、ユーザーはAWS Identity and Access Management(IAM)ポリシーを活用してアクセス管理も可能だ。

S3 Block Public Accessの有効化とACL(アクセス制御リスト)の無効化は、いずれもコンソールでのデフォルト設定だった。2023年4月時点で、S3 APIS3 CLIAWS SDKs、またはAWS CloudFormationテンプレートを使用して作成されたバケットのデフォルトとなる予定である。

1

出典:https://aws.amazon.com/blogs/aws/heads-up-amazon-s3-security-changes-are-coming-in-april-of-2023/

これらの新しいデフォルトを通じて、アプリケーションにバケットのパブリックアクセスまたはACLの使用が必要なユーザーは、バケットをパブリックまたはACLsを使用するように意図的に構成する必要がある。これらの設定するには、自動化スクリプト、AWS CloudFormation テンプレート、またはその他のインフラストラクチャ設定ツールを更新する必要がある。

他のパブリッククラウドプロバイダーであるMicrosoftとGoogleも、セキュリティのデフォルトを設定したマネージドストレージサービスを提供している。たとえば、Azure Storageのアカウントは、デフォルトでコンテナへのパブリックアクセスを許可していない。ただし、Azure Resource Managerストレージアカウントのデフォルト構成では、適切な権限を持つユーザーがストレージアカウント内のコンテナとBLOBへのパブリックアクセスを構成することが許可されている。同様に、Google Cloud Storageのバケットへのパブリックアクセスも防ぐことができる

このデフォルトについて、あるIT・情報セキュリティコンサルタントは、次のようにツイートしている。

正しいことをするのは簡単で、間違ったことをするのは難しい。

また、Redditのスレッドで回答者がコメントした。

デフォルトにするのは良いセキュリティ 多くのラボブログがこのために説明書を更新してくれないと、学習中の新しいAWSユーザーが混乱することになる。パブリックバケットを使っているラボはとても多い。

最後に、変更点の詳細については、FAQページで。

作者について

この記事に星をつける

おすすめ度
スタイル

BT