produced by Classmethod ˗ˏˋ 技術とビジネスの祭典 ˎˊ˗ Classmethod ODYSSEY 事前登録受付中

S3へのリクエストをHTTPSのみ許可できるか検証してみた

S3へのリクエストをHTTPSのみ許可したい場合は、バケットポリシーの aws:SecureTransport で設定できます。

inomaso

2021.10.20

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは！コンサル部のinomaso(@inomasosan)です。

S3のバケットポリシーを調べていた際に以下のAWSナレッジを見つけました。

今回は、実際にS3のバケットポリシーを設定して、HTTPSリクエストのみを許可できるかAWS CLIで確認していきます。

まずは結論

HTTPS（HTTP over SSL/TLS）を強制するためには、S3バケット毎のバケットポリシーを設定する必要があります。
また、上記設定が有効化されている確認も必要となるので、中々に運用が大変です。

デフォルトだと、ほとんどのリクエストはHTTPSが使用されます。
そのため、個人情報等の重要な情報が保管されているバケットに対してのみ、設定するのが良いかと思います。

環境

今回実行した環境は以下の通りです。

macOS Big Sur 11.6
AWS CLI 2.2.35

前提

S3へのリクエストの仕様は、AWSナレッジに記載されていました。

Amazon S3 は HTTP リクエストと HTTPS リクエストの両方を許可します。デフォルトでは、リクエストは AWS マネジメントコンソール、AWS コマンドラインインターフェイス (AWS CLI)、または HTTPS を介して行われます。

やってみた

検証用S3バケット作成

S3バケットをデフォルト設定で作成し、バケットポリシーにHTTPリクエストを明示的に拒否するポリシーを設定します。

{
  "Id": "ExamplePolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSSLRequestsOnly",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": [
        "arn:aws:s3:::＜バケット名＞",
        "arn:aws:s3:::＜バケット名＞/*"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      },
      "Principal": "*"
    }
  ]
}

テストファイル準備

S3バケットに検証用のファイルを用意します。
今回はAWS CLIで検証するので、S3バケットへの検証用のファイルアップロードもコマンドで実施していきます。

以下のコマンドで、ローカル端末に検証用のファイルを作成し、S3バケットにアップロードします。
※デフォルトはHTTPSリクエストなので、以下のコマンド実行は特に問題ありません。

% touch test.txt
% aws s3 cp test.txt s3://＜バケット名＞/
upload: ./test.txt to s3://＜バケット名＞/test.txt
%
% aws s3 ls s3://＜バケット名＞/
2021-10-20 14:17:56          0 test.txt

HTTPSリクエスト確認

明示的なHTTPSリクエスト確認をする場合は、--endpoint-urlオプションで、コマンドのデフォルトエンドポイントURLを上書きします。
今回は東京リージョンにS3を作成したのでhttps://s3.ap-northeast-1.amazonaws.comと指定しています。

以下のコマンドで、先ほどアップロードしたファイルを問題なく参照できました。

aws s3 ls s3://＜バケット名＞/ --endpoint-url https://s3.ap-northeast-1.amazonaws.com

2021-10-20 14:17:56          0 test.txt

HTTPリクエスト確認

HTTPSリクエストと同様に--endpoint-urlオプションで、コマンドのデフォルトエンドポイントURLを上書きします。
HTTPでリクストするためhttp://s3.ap-northeast-1.amazonaws.comと指定しています。

以下のコマンドで、HTTPリクエストの場合Access Deniedされることがわかりました。

% aws s3 ls s3://＜バケット名＞/ --endpoint-url http://s3.ap-northeast-1.amazonaws.com

An error occurred (AccessDenied) when calling the ListObjectsV2 operation: Access Denied

TLSのバージョンで細かい制御できないの？

いい感じのブログがあったので、こちらをご参照ください。

参考URL

まとめ

今回の検証にあたり梶原裕に色々とアドバイスを貰いました。改めてありがとうございます。

この記事が、どなたかのお役に立てば幸いです。それでは！

S3へのリクエストをHTTPSのみ許可できるか検証してみた

まずは結論

環境

前提

やってみた

検証用S3バケット作成

テストファイル準備

HTTPSリクエスト確認

HTTPリクエスト確認

TLSのバージョンで細かい制御できないの？

参考URL

まとめ

イベント

EVENT【4/23リモート】クラスメソッドのフリーランスエンジニア会社説明会〜AWS / システムアーキテクト案件特集〜を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【4/25（木）リモート】Google Cloudに携わるエンジニアのキャリア～クラスメソッド会社説明会～

EVENT【4/30（火）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/9（木）】組織的なクラウド統制はじめの一歩

S3へのリクエストをHTTPSのみ許可できるか検証してみた

まずは結論

環境

前提

やってみた

検証用S3バケット作成

テストファイル準備

HTTPSリクエスト確認

HTTPリクエスト確認

TLSのバージョンで細かい制御できないの？

参考URL

まとめ

イベント

EVENT【4/23リモート】クラスメソッドのフリーランスエンジニア会社説明会 〜AWS / システムアーキテクト案件特集〜 を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金） 名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【4/25（木）リモート】Google Cloudに携わるエンジニアのキャリア～クラスメソッド会社説明会～

EVENT【4/30（火）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/9（木）】組織的なクラウド統制 はじめの一歩

関連記事

Amazon IVSリアルタイムストリーミング機能｜視聴までの処理を見てみよう！

Amplify Gen2のDataのモデル定義が分かりやすい

VPCフローログの各種フィールドの意味をまとめてみた

[アップデート] Amazon Q Business で IAM Identity Center 統合ができるようになりました。なりましたというか今後必須になるようです

EVENT【4/23リモート】クラスメソッドのフリーランスエンジニア会社説明会〜AWS / システムアーキテクト案件特集〜を開催します

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【5/9（木）】組織的なクラウド統制はじめの一歩