1. はじめに
パブリックアクセスのブロック設定とは、
AWSのストレージサービスであるS3の設定項目です。
初心者的には若干複雑で、設定の詳細を毎回忘れてしまうので、整理してみます。
1.1. ACLはスコープ外
S3には2つの方法でバケット、オブジェクトへのアクセスをコントロールできます。
「バケットポリシー」と「ACL(アクセスコントロールリスト)」です。
片方のACLは現在、AWS公式からも以下の通りあまり使わなくていいよーと説明されています。
Amazon S3 の最新のユースケースの大部分では ACL を使用する必要がなくなっています。
私自身も同じ理解なので、この記事では主にバケットポリシーに着目して整理してみます。
2.「パブリックアクセス可能な状態」とは?
まずはS3が「パブリックアクセス可能な状態」とは何か?を整理します。
前述しましたが、S3には2つのアクセス制御方法があります。
バケットポリシーでアクセス制御を行っている場合、「パブリックアクセス可能なバケットポリシー」は以下のように定義されています。
バケットポリシーを評価する場合、Amazon S3 はまずポリシーがパブリックであると想定します。その後、ポリシーを評価して非パブリックとしての資格があるかどうかを判断します。非パブリックと見なすには、バケットポリシーで、次のうち 1 つ以上の固定値 (ワイルドカードを含まない値またはAWS Identity and Access Managementポリシー変数) にのみアクセスを許可する必要があります。
- AWS プリンシパル、ユーザー、ロール、またはサービスプリンシパル (例: aws:PrincipalOrgID)
- aws:SourceIp を使用した一連のクラスレスドメイン間ルーティング (CIDR)。CIDR の詳細については、RFC Editor のウェブサイトで RFC 4632 を参照してください。
- aws:SourceArn
- aws:SourceVpc
- aws:SourceVpce
- aws:SourceOwner
- aws:SourceAccount
- s3:x-amz-server-side-encryption-aws-kms-key-id
- aws:userid、「AROLEID:*」パターンの外側
- s3:DataAccessPointArn
- s3:DataAccessPointAccount
文字だけだと分かりづらいので、ドキュメントの具体例を確認しながら整理します。(ドキュメントが一部間違っているので、動くよう修正して転記しています)
{
"Principal": "*",
"Resource": "arn:aws:s3:::my-test-bucket/*",
"Action": "s3:PutObject",
"Effect": "Allow"
}
↑シンプルな例です。
Principalがワイルドカードで、Conditionなども特に指定されていないため、パブリックアクセス可能と判断されます。
{
"Principal": "*",
"Resource": "arn:aws:s3:::my-test-bucket/*",
"Action": "s3:PutObject",
"Effect": "Allow",
"Condition": { "StringLike": {"aws:SourceVpc": "vpc-*"}}
}
↑パブリックアクセスのイメージがつかみやすい例です。
Conditionが指定されていますが、パブリックアクセス可能と判断されます。
"aws:SourceVpc": "vpc-*"
条件のみでは、アクセスできるクライアントを限定しきれていないという判定だと思います。
また、以下のように修正すると、パブリックアクセスを許可しないポリシーとして扱われると説明されています。
{
"Principal": "*",
"Resource": "arn:aws:s3:::my-test-bucket/*",
"Action": "s3:PutObject",
"Effect": "Allow",
"Condition": {"StringEquals": {"aws:SourceVpc": "vpc-91237329"}}
}
Condition句の限定範囲が固定値で限定的になっていることが分かります。
+ "aws:SourceVpc": "vpc-91237329"
- "aws:SourceVpc": "vpc-*"
再度、「パブリックアクセス可能なバケットポリシー」の定義を確認してみます。
次のうち 1 つ以上の固定値にのみアクセスを許可する必要があります
- AWS プリンシパル、ユーザー、ロール、またはサービスプリンシパル (例: aws:PrincipalOrgID)
- aws:SourceIp を使用した一連のクラスレスドメイン間ルーティング (CIDR)。CIDR の詳細については、RFC Editor のウェブサイトで RFC 4632 を参照してください。
- aws:SourceArn
- aws:SourceVpc
- aws:SourceVpce
- aws:SourceOwner
- aws:SourceAccount
- s3:x-amz-server-side-encryption-aws-kms-key-id
- aws:userid、「AROLEID:*」パターンの外側
- s3:DataAccessPointArn
- s3:DataAccessPointAccount
記載例と合わせ、「パブリックアクセスが可能」なポリシーとはつまり、
具体的な主体を指定していないAllowなstatementを含むポリシーだということが分かりました。
3. 各設定項目の整理
パブリックアクセスの定義がなんとなく整理できたので、設定項目も読み解いていこうとおもいます。
前述しましたが、ACLの設定項目は今回スコープ外とします。
3.1. マネコンで確認
バケットポリシー関連の2つの項目が存在します。
3.1.1 新しいパブリックバケットポリシーをブロック
新しいパブリックバケットポリシーまたはアクセスポイントポリシーを介して付与されたバケットとオブジェクトへのパブリックアクセスをブロックする
S3 は、バケットとオブジェクトへのパブリックアクセスを許可する新しいバケットポリシーおよびアクセスポイントポリシーをブロックします。この設定は、S3 リソースへのパブリックアクセスを許可する既存のポリシーを変更しません。
パブリックアクセスを可能とするバケットポリシーの追加を禁止する設定です。
この設定がチェックされている場合、パブリックアクセスを可能とするバケットポリシーの追加がエラーとなります。
実際に挙動を試してみます。
デフォルトではパブリックアクセスのブロック設定は全て有効化されています。
ドキュメントに記載されたパブリックアクセス可能なポリシーをアタッチしてみましたが、エラーとなりました。
設定をOFFにし、再度、パブリックアクセス可能なポリシーをアタッチしてみます。
成功しました!
3.1.2 パブリックバケットポリシーを介したバケットとオブジェクトへのパブリックアクセスをブロックする
任意のパブリックバケットポリシーまたはアクセスポイントポリシーを介したバケットとオブジェクトへのパブリックアクセスとクロスアカウントアクセスをブロックする
S3 は、バケットとオブジェクトへのパブリックアクセスを付与するポリシーを使用したバケットまたはアクセスポイントへのパブリックアクセスとクロスアカウントアクセスを無視します。
パブリックアクセスを可能とするバケットポリシーを無効化する設定です。
この設定がチェックされている場合、パブリックアクセスを可能とするバケットポリシーは無効化されます。
実際に設定を無効化します。
{
"Principal": "*",
"Resource": "arn:aws:s3:::my-test-bucket/*",
"Action": "s3:PutObject",
"Effect": "Allow"
}
また、バケットには上記パブリックアクセスを可能とするバケットポリシーを付与します。
パブリックアクセス可能なポリシーをブロックする設定が有効化されていないので、アクセス可能となります。
再度、パブリックアクセスを可能とするバケットポリシーを無効化してみます。
パブリックアクセス可能なバケットポリシーが付与されていますが、アクセスが拒否されました。
3.2. Terraformで確認
Terraformでは、aws_s3_bucket_public_access_blockリソースとして定義できます。
マネコンの各設定項目に1:1で対応しています。
resource "aws_s3_bucket_public_access_block" "main" {
bucket = aws_s3_bucket.main.id
# 新しいアクセスコントロールリスト (ACL) を介して付与されたバケットとオブジェクトへのパブリックアクセスをブロックする
block_public_acls = true
# 任意のアクセスコントロールリスト (ACL) を介して付与されたバケットとオブジェクトへのパブリックアクセスをブロックする
ignore_public_acls = true
# 新しいパブリックバケットポリシーまたはアクセスポイントポリシーを介して付与されたバケットとオブジェクトへのパブリックアクセスをブロックする
block_public_policy = true
# 任意のパブリックバケットポリシーまたはアクセスポイントポリシーを介したバケットとオブジェクトへのパブリックアクセスとクロスアカウントアクセスをブロックする
restrict_public_buckets = true
}
おわりに
きちんとドキュメントを読めばあまり難しい話ではなかったです(この記事もほとんどドキュメントのコピペ・・・)。
AWSのドキュメントは機械翻訳が微妙かつ誤記も多いのであまり好きじゃないのですが、
がんばって読めるようになりたいと思いました。