この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
ご機嫌いかがでしょうか、豊崎です。
Trusted Advisorによる、S3 Bucketのパーミッションチェックが無料になったとアナウンスがありましたのでご紹介したいと思います。
どうかわったのか?
いままではAWSサポートのビジネスプランおよびエンタープライズプランを契約しているユーザのみ利用できました。
弊社西澤の記事でも具体的な内容についてご紹介をしています。
今回の改定でサポートプランに関係なく、全てのユーザが無料(!)で利用可能になりました。
Announcement: AWS Trusted Advisor's S3 Bucket Permissions Check Is Now Free https://forums.aws.amazon.com/ann.jspa?annID=5477
なにをチェックできるのか?
全てのユーザに対して読み取り権限、書き込み権限を許可しているACL(アクセスコントロールリスト)またはバケットポリシーを識別することができます。
識別させてみた
実際にTrusted Advisorの画面を開き、セキュリティの画面を開くと「Amazon S3バケット許可」という項目があります。 今私のAWSアカウントにはパブリックなアクセスを許可しているS3バケットはないため、アラートは出ていません。
赤枠で囲った箇所がアラートがでる条件となります。
S3バケットのACLを変更してみました。(全ての人からにGetObjectを許可)
変更を検知したため、対象のバケットが表示されました。そして、バケットポリシーでの許可を検出しました!
さいごに
意図していない情報の公開がされないように無料になり使いやすくなったTrusted Advisorを活用しましょう。
また、AWSサポートのビジネスプランおよびエンタープライズプランではCloudWatch Eventsと連携してTrusted Advisorのステータス変更を検出することができるようなので、後ほどそちらも試してみたいと思います。
この記事が誰かのお役に立てば幸いです。
1
