【Security Hub修復手順】[S3.3] S3 バケットはパブリック書き込みアクセスを禁止する必要があります

【Security Hub修復手順】[S3.3] S3 バケットはパブリック書き込みアクセスを禁止する必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

#AWS
#AWS Security Hub
おつまみ

おつまみ

facebook logohatena logotwitter logo
Clock Icon2022.12.07

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!AWS事業本部のおつまみです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[S3.3] S3 バケットはパブリック書き込みアクセスを禁止する必要があります

[S3.3] S3 buckets should prohibit public write access

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

このコントロールは、ブロックパブリックアクセス設定、バケットポリシー、およびバケットアクセスコントロールリスト (ACL) を評価し、S3 バケットがパブリック書き込みアクセスを許可するかどうかをチェックします。

S3 バケットが意図せずパブリックに公開されていた場合、保存されているファイルへの意図しない書き込み操作が発生する可能性があります。 意図しない書き込み操作を防止するためにも、可能な限り対応しましょう。 

修正手順

1. ステークホルダーに確認

  1. まずはステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
  • 意図してパブリックの書き込みを許可しているか?
    • 意図して許可している場合、抑制済みで登録して下さい。
      対応可能であれば、S3 で公開しているコンテンツを、CloudFront からのアクセスのみに制限するOrigin Access Control (OAC)を使用することを推奨いたします。
      実施方法はこちらのブログを参考にして下さい。

・上記ブログでは、S3バケットを新規で作成しておりますが、既に作成済みのS3バケットに適用する場合は作成不要です。

・バケットポリシーの変更が必要になります。バケットポリシーはIAMポリシー・Access Control List(ACL)より権限が強いため、変更には十分注意して下さい。

  • 意図して許可していない。つまりパブリックの書き込みが不要な場合、[2. 設定変更]手順に従い、S3 バケットを更新してパブリックアクセスを削除します。

    ※設定変更後にインターネット経由でS3バケットの書き込みができなくなります。万一設定が必要だった場合に、業務影響が出てしまいます。そのため、社内で注意深く確認して下さい。

2. 設定変更

  1. AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「S3.3」を検索します。タイトルを選択します。

  2. 失敗しているS3バケットを選択します。

  3. [アクセス許可]タブを選択し、[ブロックパブリックアクセス (バケット設定)]で[編集] を選択します。

  4. [パブリックアクセスをすべてブロック] を選択します。次に、[変更の保存]を選択します。

  5. 確認画面が表示されたら、確認を入力して[確認]を選択します。

  6. [アクセス許可の概要]でアクセスが[非公開のバケットとオブジェクト]になっていること、[パブリックアクセスをすべてブロック] で[オン]になっていることを確認します。

  7. SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。

※設定変更により障害が発生した場合(パブリック書き込みアクセスが本来必要だった場合)、下記の[3.切戻手順]を実施します。

3. 切戻手順

  1. 該当のS3バケットを選択します。
  2. [アクセス許可]タブを選択し、[ブロックパブリックアクセス (バケット設定)]で[編集] を選択します。

  3. [パブリックアクセスをすべてブロック] のチェックを外します。次に、[変更の保存]を選択します。

  4. 確認画面が表示されたら、確認を入力して[確認]を選択します。

  5. [アクセス許可の概要]でアクセスが[公開]になっていること、[パブリックアクセスをすべてブロック] で[オフ]になっていることを確認します。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。

以上、おつまみ(@AWS11077)でした!

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート]CloudTrail Lake で高度なイベントセレクターがサポートされました

[アップデート]CloudTrail Lake で高度なイベントセレクターがサポートされました

User avatar
あしざわ
2024.11.17
AWS re:Invent 2024 オンライン視聴の登録方法 #reInvent

AWS re:Invent 2024 オンライン視聴の登録方法 #reInvent

User avatar
石川覚
2024.11.17
DynamoDB料金の値下げ、半額になったオンデマンド料金を試算してみた (2024年11月)

DynamoDB料金の値下げ、半額になったオンデマンド料金を試算してみた (2024年11月)

User avatar
suzuki.ryo
2024.11.17
[アップデート] Amazon QuickSight へロゴやテーマカラーを設定するための「ブランド管理機能」が追加されました

[アップデート] Amazon QuickSight へロゴやテーマカラーを設定するための「ブランド管理機能」が追加されました

User avatar
いわさ
2024.11.17
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.