【アップデート】AWS Config RulesでS3のパブリックへの公開をチェックできるようになりました!!

config

本日より育休から復帰しました、森永です。
お陰様で、子供は順調に大きくなってきております。
復帰してみると地味なアップデートの数々がブログになっていなかったので、全国の地味アップデートマニアの皆様のためにも頑張らねばと熱意を燃やしております。

というわけで、復帰第一弾は私の大好きなサービスAWS Configのアップデート情報です。
AWS Config Rulesに新しくS3バケットへのパブリックアクセス許可をチェックするマネージドルールが追加されました!

どんなルール?

追加されたのは以下の2つのルールです。

  • s3-bucket-public-read-prohibited
    • パブリックへの読み取り許可をチェック
  • s3-bucket-public-write-prohibited
    • パブリックへの書き込み許可をチェック

パプリックへの読み取りは意図的にやっている方も多いと思いますが、書き込みは状況が限定されそうですね。(怖くてやりたくないです。)

試してみる

早速試してみます。
AWS Config Rulesの「Add Rules」からルールを選択します。
随分とマネージドルールが増えたので、「s3」などのキーワードでフィルタしましょう。
今回は「s3-bucket-public-read-prohibited」を試してみます。

AWS_Config_Console

ルールを選択すると、設定画面に遷移します。
といっても設定する内容は何もないです。

AWS_Config_Console 6

「Save」を押すとチェックが始まります。
チェックが終わったかどうかは、左上にある更新ボタンを押して確認します。

AWS_Config_Console 2

チェックが終わりました。
3つパブリックになっているS3バケットがあるようです。

AWS_Config_Console 3

ルール名をクリックして、詳細を確認します。
確認したところ、CfnのテンプレートやWebホスティングしている意図的に公開しているS3バケットだけでした。良かった…
「Annotation」ではバケットポリシー、ACLどちらでパブリック設定になっているのかを確認することも出来ます。

AWS_Config_Console 5

最後に

ひとつひとつS3バケットの権限設定を確認するのは手間ですよね。
Config Rulesをうまく活用して楽してセキュリティのリスクを軽減しましょう!