クラスメソッドメンバーズサービスによって作成された S3 バケットに対して、HTTP リクエストを拒否するポリシーを設定しても問題ありませんか？

弊社のAWS総合支援サービスである「クラスメソッドメンバーズ」では、メンバーズサービス提供のためいくつかのAWSサービスを有効化しリソースを作成します。

これにより作成された S3 バケットに関して、HTTP リクエストに対するポリシー設定についてのお困りごとについてご案内します。

困っていること

CSPM (Cloud Security Posture Management) のソリューションを導入したところ、S3 バケットに対して HTTP リクエストを拒否するべきであるという旨のアラートが検出されました。
クラスメソッドメンバーズサービスによって作成された以下のような S3 バケットに対して、HTTP リクエストを拒否するポリシーを設定しても問題ありませんか？

• cm-members-xxxx
• cm-members-config-xxxx
• cm-members-cloudtrail-xxxx

回答

はい、HTTP リクエストを拒否する設定にしていただいて問題ございません。

HTTP リクエストを拒否するバケットポリシーの設定については、参考情報に記載の re:Post やブログ記事をご参照ください。

一例としては以下のようなポリシー設定となります。

{
    "Id": "ExamplePolicy",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::cm-members-config-xxxx",
                "arn:aws:s3:::cm-members-config-xxxx/*"
            ],
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            },
            "Principal": "*"
        }
    ]
}

参考情報

https://repost.aws/ja/knowledge-center/s3-bucket-policy-for-config-rule

https://dev.classmethod.jp/articles/s3-request-https-only/