【アップデート】AWS Config RulesでS3のパブリックへの公開をチェックできるようになりました!!
本日より育休から復帰しました、森永です。
お陰様で、子供は順調に大きくなってきております。
復帰してみると地味なアップデートの数々がブログになっていなかったので、全国の地味アップデートマニアの皆様のためにも頑張らねばと熱意を燃やしております。
というわけで、復帰第一弾は私の大好きなサービスAWS Configのアップデート情報です。
AWS Config Rulesに新しくS3バケットへのパブリックアクセス許可をチェックするマネージドルールが追加されました!
- Example Scenarios for AWS Config Continuous Monitoring of Amazon S3 Bucket Access Controls | AWS Management Tools Blog
- AWS Config で、Amazon S3 バケットをセキュリティ保護するための新しい管理ルールをサポート
どんなルール?
追加されたのは以下の2つのルールです。
- s3-bucket-public-read-prohibited
- パブリックへの読み取り許可をチェック
- s3-bucket-public-write-prohibited
- パブリックへの書き込み許可をチェック
パプリックへの読み取りは意図的にやっている方も多いと思いますが、書き込みは状況が限定されそうですね。(怖くてやりたくないです。)
試してみる
早速試してみます。
AWS Config Rulesの「Add Rules」からルールを選択します。
随分とマネージドルールが増えたので、「s3」などのキーワードでフィルタしましょう。
今回は「s3-bucket-public-read-prohibited」を試してみます。
ルールを選択すると、設定画面に遷移します。
といっても設定する内容は何もないです。
「Save」を押すとチェックが始まります。
チェックが終わったかどうかは、左上にある更新ボタンを押して確認します。
チェックが終わりました。
3つパブリックになっているS3バケットがあるようです。
ルール名をクリックして、詳細を確認します。
確認したところ、CfnのテンプレートやWebホスティングしている意図的に公開しているS3バケットだけでした。良かった…
「Annotation」ではバケットポリシー、ACLどちらでパブリック設定になっているのかを確認することも出来ます。
最後に
ひとつひとつS3バケットの権限設定を確認するのは手間ですよね。
Config Rulesをうまく活用して楽してセキュリティのリスクを軽減しましょう!
