【Security Hub修復手順】[S3.8] S3 ブロックパブリックアクセス設定は、バケットレベルで有効にする必要があります

こんにちは、AWS事業本部の平井です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[S3.8] S3 ブロックパブリックアクセス設定は、バケットレベルで有効にする必要があります

[S3.8] S3 Block Public Access setting should be enabled at the bucket level

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

今回の対象コントロールは、「S3 ブロックパブリックアクセス設定は、バケットレベルで有効にする必要があります」になります。

S3 ブロックパブリックアクセス設定は、「意図しないS3バケットの公開」を未然に防ぐための機能になります。

ブロックパブリックアクセスには 4 つの設定があります。

• BlockPublicAcls
  • パブリックアクセス許可するACLの新規作成や設定変更をブロックします
• IgnorePublicAcls
  • パブリックアクセス許可するすべてのACLの設定を無視します。
• BlockPublicPolicy
  • パブリックアクセスを許可する新しいバケットポリシー設定をブロックします。BlockPublicAclsのバケットポリシー版ですね。
• RestrictPublicBuckets
  • バケットポリシーで設定したパブリックアクセスとクロスアカウントアクセスをブロックします。IgnorePublicAclsのバケットポリシー版です。

上記の4つの設定を無効にした場合、意図せずS3のバケットやオブジェクトを公開してしまう可能性があります。意図しない公開を防ぐためにも、有効化しましょう。

ただし、意図してS3のバケットを公開する場合は、抑制済みにして頂いて構いません。

**S3 ブロックパブリックアクセス設定は、あくまでも「意図しないS3バケットの公開」を未然に防ぐための機能ですので、公開が必要な場合は、バケットポリシーで最低限の範囲・権限に絞った上で抑制済みにして下さい。****

S3のブロックパブリックアクセス設定について分かりやすく説明する

修正手順

1 対象のS3バケットの確認方法

1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「S3.8」を検索します。タイトルを選択します。
   
2. リソースの欄から失敗しているS3バケットを確認できます。
3. S3のコンソールを開き、バケット一覧から対象のバケットの詳細を確認できます。

2 ステークホルダーに確認

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

• S3バケットのブロックパブリックアクセス設定は、有効にしてよいか
  • パブリックアクセスの用途があり、有効にしてはならない場合、抑制済みにします。
    • バケットポリシーで最低限の範囲・権限に絞った上で抑制済みにしましょう。
  • 有効にして良い場合、[3 ブロックパブリックアクセス設定を有効にする]の作業をしてください。

※設定変更後、業務に影響が出る可能性があります。そのため、社内で注意深く確認し対応して下さい。

3 ブロックパブリックアクセス設定を有効にする

1. S3のコンソールから、対象のバケットを選択し、[アクセス許可]タブの[ブロックパブリックアクセス (バケット設定)]の編集をクリックします。
2. [パブリックアクセスをすべてブロック]にチェックをつけて、変更の保存をします。ポップアップが表示されるため、確認と入力し、[確認]をクリックします。

これで、誤ったバケット公開を防ぐことができました！

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。

以上、平井でした！