先日AWSは、Amazon Simple Storage Service(Amazon S3)に対して、リージョン内のすべてのバケットでS3 Block Public Accessを有効にし、アクセス制御リスト(ACLs)をデフォルトで無効にするという2つの変更を発表した。これらの変更は2023年4月に適用され、数週間以内にすべてのAWSリージョンで展開される予定だ。
Amazon S3はAWS上のマネージドオブジェクトストレージサービスで、そのS3バケットとオブジェクトは常にデフォルトでプライベートになっていた。 同社は2018年にBlock Public Accessの機能を追加、2021年にはACLsを無効にする機能を追加し、ユーザーのアクセスコントロールの自由度を高めている。さらに、ユーザーはAWS Identity and Access Management(IAM)ポリシーを活用してアクセス管理も可能だ。
S3 Block Public Accessの有効化とACL(アクセス制御リスト)の無効化は、いずれもコンソールでのデフォルト設定だった。2023年4月時点で、S3 API、S3 CLI、AWS SDKs、またはAWS CloudFormationテンプレートを使用して作成されたバケットのデフォルトとなる予定である。
出典:https://aws.amazon.com/blogs/aws/heads-up-amazon-s3-security-changes-are-coming-in-april-of-2023/
これらの新しいデフォルトを通じて、アプリケーションにバケットのパブリックアクセスまたはACLの使用が必要なユーザーは、バケットをパブリックまたはACLsを使用するように意図的に構成する必要がある。これらの設定するには、自動化スクリプト、AWS CloudFormation テンプレート、またはその他のインフラストラクチャ設定ツールを更新する必要がある。
他のパブリッククラウドプロバイダーであるMicrosoftとGoogleも、セキュリティのデフォルトを設定したマネージドストレージサービスを提供している。たとえば、Azure Storageのアカウントは、デフォルトでコンテナへのパブリックアクセスを許可していない。ただし、Azure Resource Managerストレージアカウントのデフォルト構成では、適切な権限を持つユーザーがストレージアカウント内のコンテナとBLOBへのパブリックアクセスを構成することが許可されている。同様に、Google Cloud Storageのバケットへのパブリックアクセスも防ぐことができる。
このデフォルトについて、あるIT・情報セキュリティコンサルタントは、次のようにツイートしている。
正しいことをするのは簡単で、間違ったことをするのは難しい。
また、Redditのスレッドで回答者がコメントした。
デフォルトにするのは良いセキュリティ 多くのラボブログがこのために説明書を更新してくれないと、学習中の新しいAWSユーザーが混乱することになる。パブリックバケットを使っているラボはとても多い。
最後に、変更点の詳細については、FAQページで。