CloudFormationで作成したS3のデフォルト暗号化について試してみた

CloudFormationで作成したS3のデフォルト暗号化について試してみた

Clock Icon2023.01.11

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、シマです。
Amazon S3における「暗号化」の仕様に関してのアップデートが公開され、
それに関してDevelopersIOでは以下の記事が書かれています。

その中で、既にマネジメントコンソール上では
バケットの新規作成時に「デフォルト暗号化」を無効にすることが
できなくなっていることが記載されていました。

ちょっとした疑問

では、CloudFormationで暗号化のパラメータを与えずに
S3バケットを作成した場合には、どうなるのでしょうか。
疑問に思ったので確認してみることにしました。
※2023/01/11時点

いきなり結論

デフォルト状態では、暗号化されない状態で作成されました。

(※2023/6/15追記) 後日、下記の記事で再度確認をしたところ、ちゃんと暗号化されるようになっていました。

やってみたこと

CloudFormationを使用してS3を作成します。
デフォルトの挙動を確認したいため、作成に使用するテンプレートはなるべくシンプルなものにします。
今回は以下を使用しました。

  S3TEST:
    Type: AWS::S3::Bucket
    Properties:
      BucketName: 20230111-01-shima-test

作成できたS3バケットのプロパティからデフォルトの暗号化に関する内容を確認してみます。

上記のように暗号化されていないことを確認できました。

最後に

既存で暗号化されないバケットは、今後数週間で順次「SSE-S3」に変更されると
AWS公式ドキュメントに記載があります。
利用者目線では自動的によりセキュアになるので良いことだけですが、
インフラSIerの観点では、設計書と設定値の不一致や、
それに伴うインフラ単体試験への影響等が考えられるため、 今から設計構築をする場合は、明示的に有効化しておく方がよいかもしれません。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.