Amazon S3 のセキュリティのベストプラクティス

インターネット上のだれもがお客様の S3 バケットを読み書きできるように明示的にリクエストしない限り、S3 バケットが非公開であることを確認する必要があります。以下に示しているのは、実行できるいくつかのステップです。

詳細については、Amazon Simple Storage Service コンソールユーザーガイド の「バケットとオブジェクトのアクセス許可の設定」を参照してください。

アクセス許可を付与する場合、どのユーザーにどの Amazon S3 リソースに対するアクセス許可を付与するかは、お客様が決定します。つまり、該当リソースに対して許可する特定のアクションを有効にするということです。このため、タスクの実行に必要なアクセス許可のみを付与する必要があります。最小限の特権アクセスの実装は、セキュリティリスクはもちろん、エラーや悪意ある行動によってもたらされる可能性のある影響を減らす上での基本となります。

以下のツールは、最小限の特権アクセスを実装するために使用できます。

上記のメカニズムを 1 つ以上選択する場合に何を考慮すべきかに関するガイダンスについては、「Amazon S3 リソースへのアクセス許可の管理の概要」を参照してください。

AWS の Amazon EC2 などのサービス上のアプリケーションが Amazon S3 リソースにアクセスするには、それらの AWS API リクエストに有効な AWS 認証情報を含める必要があります。アプリケーションまたは Amazon EC2 インスタンスに AWS 認証情報を直接保存しないでください。AWS 認証情報は、自動更新されない長期認証情報のため、漏洩すると業務に深刻な悪影響が及ぶ可能性があります。

代わりに、IAM ロールを使用して、Amazon S3 にアクセスする必要があるアプリケーションまたはサービスの一時的な認証情報を管理する必要があります。ロールを使用するとき、Amazon EC2 インスタンスまたは AWS のサービス (AWS Lambda など) に長期の認証情報 (ユーザー名、パスワード、アクセスキーなど) を配布する必要はありません。ロールは、アプリケーションが他の AWS リソースの呼び出しを行うときに使用できる一時的なアクセス許可を付与します。

詳細については、IAM ユーザーガイド の以下のトピックを参照してください。

MFA Delete は、誤ってバケットを削除しないようにするのに役立ちます。MFA Delete が有効になっていない場合、任意のユーザーは、十分な特権のある root または IAM ユーザーのパスワードを使用して、Amazon S3 オブジェクトを完全に削除できます。

MFA Delete では、以下のいずれかのオペレーションに追加の認証が必要になります。

詳細については、「MFA Delete」を参照してください。

Amazon S3 で保管時のデータを保護するには、以下のようなオプションがあります。

HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。Amazon S3 バケットポリシーで aws:SecureTransport 条件を使用して、HTTPS (TLS) を介した暗号化接続のみを許可してください。

また、s3-bucket-ssl-requests-only マネージド AWS Config ルールを使用する継続的な発見的統制の実装を検討してください。

Amazon S3 オブジェクトロックでは、「Write Once Read Many」(WORM) モデルを使用してオブジェクトを保存できます。Amazon S3 オブジェクトロックは、データの誤った削除や不適切な削除を防ぐのに役立ちます。たとえば、AWS CloudTrail ログを保護するために Amazon S3 オブジェクトロックを使用できます。

バージョニングとは、同じバケット内でオブジェクトの複数のバリアントを保持する手段です。バージョニングを使用して、Amazon S3 バケットに格納されたあらゆるオブジェクトのあらゆるバージョンを、格納、取得、復元することができます。バージョニングを使用すれば、意図しないユーザーアクションからもアプリケーション障害からも、簡単に復旧できます。

また、s3-bucket-versioning-enabled マネージド AWS Config ルールを使用する継続的な発見的統制の実装を検討してください。

詳細については、「バージョニングの使用」を参照してください。

Amazon S3 はデフォルトで地理的に異なる複数のアベイラビリティーゾーンにデータを保存しますが、コンプライアンス要件によっては、さらに離れた場所にデータを保存することが要求される場合があります。クロスリージョンレプリケーション (CRR) は、データを遠く離れた AWS リージョンにレプリケートできるため、そのような要件を満たすのに役立ちます。CRR では、異なる AWS リージョンのバケット間でオブジェクトを自動的に非同期コピーできます。詳細については、「レプリケーション」を参照してください。

また、s3-bucket-replication-enabled マネージド AWS Config ルールを使用する継続的な発見的統制の実装を検討してください。

Amazon S3 の VPC エンドポイントは、Amazon S3 のみへの接続を許可する Amazon Virtual Private Cloud (Amazon VPC) 内の論理エンティティです。Amazon S3 バケットポリシーを使用して、特定のエンドポイントまたは特定の Amazon VPC からバケットへのアクセスをコントロールできます。VPC エンドポイントは、トラフィックが潜在的にオープンインターネットを通過してオープンインターネット環境にさらされるのを防ぐのに役立ちます。

Amazon S3 の VPC エンドポイントには、Amazon S3 データへのアクセスをコントラストするために、2 通りの方法が用意されています。

詳細については、「Amazon S3 の VPC エンドポイント用のバケットポリシーの例」を参照してください。

IT アセットの特定はガバナンスとセキュリティの重要な側面です。セキュリティの状態を評価し、潜在的な弱点に対処するには、すべての Amazon S3 リソースを表示する必要があります。

タグエディターを使用してセキュリティまたは監査で注意を要するリソースを識別してから、それらのタグを、リソースを検索する必要があるときに使用します。詳細については、「タグ付けするリソースの検索」を参照してください。

Amazon S3 インベントリを使用して、ビジネス、コンプライアンス、および規制上のニーズに応じて、オブジェクトのレプリケーションと暗号化のステータスを監査し、レポートします。詳細については、「 Amazon S3 インベントリ」を参照してください。

Amazon S3 リソースのリソースグループを作成します。詳細については、「AWS リソースグループとは」を参照してください。

モニタリングは、Amazon S3 および AWS ソリューションの信頼性、セキュリティ、可用性、パフォーマンスを維持するための重要な部分です。AWS では、AWS の Amazon S3 などのサービスをモニタリングするのに役立ついくつかのツールとサービスを提供しています。たとえば、Amazon S3 の CloudWatch メトリクス、特に PutRequests、GetRequests、4xxErrors、DeleteRequests をモニタリングできます。詳細については、「Amazon CloudWatch を使用したメトリクスのモニタリング」を参照してください。詳細については、「Amazon S3 のモニタリング」を参照してください。

別の例については、「例: Amazon S3 バケットアクティビティ」を参照してください。この例では、Amazon S3 API コールがバケットのポリシー、バケットのライフサイクル、またはバケットのレプリケーションの PUT または DELETE に対して、あるいはバケットの ACL の PUT に対して行われたときにトリガーされる、Amazon CloudWatch アラームを作成する方法について説明します。

サーバーアクセスのログには、バケットに対するリクエストの詳細が記録されます。サーバーアクセスログは、セキュリティやアクセス監査の参考になることがあり、顧客基盤について知り、Amazon S3 の請求を理解するのに役立ちます。サーバーアクセスログ記録を有効にする手順については、「Amazon S3 サーバーアクセスのログ記録」を参照してください。

また、s3-bucket-logging-enabled マネージド AWS Config ルールを使用する継続的な発見的統制の実装を検討してください。

AWS CloudTrail では、Amazon S3 でユーザー、ロール、または AWS のサービスによって実行されたアクションのレコードが提供されます。CloudTrail で収集された情報を使用して、Amazon S3 に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。たとえば、データアクセスに影響する Put アクションの CloudTrail エントリ、特に PutBucketAcl、PutObjectAcl、PutBucketPolicy、PutBucketWebsite を識別できます。詳細については、「AWS CloudTrail を使用して Amazon S3 API コールのログを記録する」を参照してください。

Amazon S3 サーバーアクセスログ記録と組み合わせて CloudTrail を使用することもできます。Amazon S3 サーバーアクセスログ記録は、バケットに対して行われたリクエストのアクセスログを提供しますが、オブジェクトレベルでの API オペレーションの可視性は提供しません。CloudTrail は、Amazon S3 オブジェクトレベルでの API オペレーション (GetObject、DeleteObject、PutObject など) をサポートします。データイベントと呼ばれるこれらのイベントをモニタリングすることで、Amazon S3 オブジェクトを含むオペレーションについて貴重な洞察を得ることができます。詳細については、AWS CloudTrail User Guide の「データイベント」を参照してください。

このトピックに示しているベストプラクティスのいくつかでは、AWS Config ルールを作成することを提案しています。AWS Config では、AWS リソースの設定を評価、監査、診断できます。AWS Config では、リソースの設定をモニタリングし、目的とする安全な設定に対して、記録された設定を評価できます。AWS Config を使用すると、AWS リソース間の設定や関連性の変更を確認し、詳細なリソース設定履歴を調べ、社内ガイドラインで指定された設定に対して、全体的なコンプライアンスを確認できます。これにより、コンプライアンス監査、セキュリティ分析、変更管理、運用上のトラブルシューティングを簡素化できます。詳細については、AWS Config 開発者ガイドの「コンソールを使用した AWS Config の設定」を参照してください。記録するリソースタイプを指定するときは、必ず Amazon S3 リソースを含めてください。

パブリックアクセスを許可する Amazon S3 バケットを AWS Config によりモニタリングおよび応答する方法の例については、AWS セキュリティブログの「パブリックアクセスを許可する Amazon S3 バケットを AWS Config によりモニタリングおよび応答する方法」を参照してください。

Macie は、機械学習によって AWS 内の機密データを自動的に検出、分類、保護します。Macie では、個人情報 (PII) や知的財産などの機密データが認識されます。ダッシュボードやアラートが提供されるため、データのアクセスや移動状況を確認できます。詳細については、「Amazon Macie とは」を参照してください。

AWS アカウントについて Trusted Advisor に投稿されたセキュリティ勧告を定期的に確認してください。特に、「オープンアクセス許可」のある Amazon S3 バケットに関する警告に注意してください。 これは、describe-trusted-advisor-checks を使用してプログラムにより行うことができます。

さらに、各 AWS アカウントに登録されているメインの E メールアドレスを積極的にモニタリングしてください。AWS は、この E メールアドレスを使用して、お客様に影響を与える可能性のある新たなセキュリティ問題について連絡します。

広範な影響を与える AWS の運用上の問題は AWSサービスヘルスダッシュボード に投稿されます。運用上の問題は Personal Health Dashboard を介して個々のアカウントにも投稿されます。詳細については、AWS Health のドキュメントを参照してください。