他にはないセキュリティ、コンプライアンス、および監査機能
データを Amazon S3 に保存し、暗号化機能とアクセス管理ツールを使用して不正なアクセスからデータを保護します。S3 は、すべてのバケットへのすべてのオブジェクトのアップロードを暗号化します。S3 は S3 Block Public Access を使用して、バケットレベルまたはアカウントレベルで、すべてのオブジェクトへのパブリックアクセスをブロックできる唯一のオブジェクトストレージサービスです。S3 は PCI-DSS、HIPAA/HITECH、FedRAMP、EU データ保護指令、および FISMA などのコンプライアンスプログラムを維持し、規制要件を満たしています。AWS では、S3 リソースへのアクセスリクエストをモニタリングするための監査機能も多数サポートしています。
Amazon S3 のセキュリティとアクセス管理
デフォルトでは、Amazon S3 のデータを保護するために、ユーザーは作成した S3 リソースにのみアクセスすることができます。次のアクセス管理機能のいずれか、または組み合わせを使用して、他のユーザーにアクセス権を付与することができます: AWS Identity and Access Management (IAM) (ユーザーの作成とアクセス権の管理)、アクセスコントロールリスト (ACL) (認証されたユーザーによる個々のオブジェクトへのアクセスを許可)、バケットポリシー (1 つの S3 バケット内のすべてのオブジェクトに対するアクセス許可を設定)、クエリ文字列認証 (一時 URL を使用して他のユーザーに制限付きアクセスを付与)。Amazon S3 では、S3 リソースに対して行われたリクエストを一覧表示する監査ログもサポートしており、アクセスしたユーザーとアクセスされたデータを明確に把握することができます。
S3 パブリックアクセスブロック
S3 マネジメントコンソールでの数回のクリックで、S3 ブロックパブリックアクセスをアカウント内のあらゆるバケット (既存のバケットと今後作成する新しいバケットの両方) に対して適用でき、オブジェクトにパブリックアクセスが発生しないよう設定できます。すべての新しいバケットでは、ブロックパブリックアクセスがデフォルトで有効になっています。アカウント内の既存のすべてのバケットへのアクセスを制限するには、アカウントレベルでパブリックアクセスをブロックを有効にします。S3 パブリックアクセスブロックを設定すると、パブリックアクセスを許可する S3 のアクセス権限が上書きされるため、アカウント管理者は、オブジェクトの追加方法やバケットの作成方法に関係なく、セキュリティ設定のばらつきを防ぐための集中管理を簡単に設定できます。
S3 Object Lock
Amazon S3 Object Lock は、お客様が指定した保持期間中、オブジェクトバージョンが削除されないようにする機能です。データ保護を一層強化するために、または規制コンプライアンスを遵守するために、ファイル保持ポリシーを強制的に適用できます。事前定義されたリテンション期日またはリーガルホールド期日以前のオブジェクトバージョンの削除を防ぐには、ワークロードを既存の Write Once Read Many (WORM) システムから Amazon S3 に移行し、S3 Object Lock をオブジェクトレベルおよびバケットレベルで設定します。
S3 Object Ownership
Amazon S3 Object Ownership はアクセスコントロールリスト (ACL) を無効にし、すべてのオブジェクトの所有権をバケット所有者に変更し、S3 に保存されているデータのアクセス管理を簡素化します。 S3 Object Ownership バケット所有者強制設定を構成すると、ACL はバケットとその中のオブジェクトのアクセス許可に影響を与えなくなります。すべてのアクセスコントロールは、リソースベースのポリシー、ユーザーポリシー、またはこれらの組み合わせを使用して定義されます。新しいバケットでは ACL は自動的に無効になります。IAM ベースのバケットポリシーに移行するときに S3 オブジェクトオーナーシップを有効にする前に、S3 インベントリを使用してバケット内の ACL の使用状況を確認できます。詳細については、Object Ownership の制御を参照してください。
Identity and Access Management
デフォルトでは、すべての Amazon S3 リソース (バケット、オブジェクト、および関連するサブリソース) はプライベートです。リソースの所有者、つまりそれを作成した AWS アカウントのみがリソースにアクセスできます。Amazon S3 は、リソースベースのポリシーとユーザーポリシーとして大まかに分類されたアクセスポリシーオプションを提供します。リソースベースのポリシー、ユーザーポリシー、またはこれらの組み合わせを使用して、Amazon S3 リソースへのアクセス許可を管理することを選択できます。 デフォルトでは、S3 オブジェクトは、オブジェクトを作成したアカウントによって所有されます。これには、このアカウントがバケット所有者と異なる場合も含まれます。S3 Object Ownership を使用して、アクセスコントロールリストを無効にし、この動作を変更できます。その場合、バケット内の各オブジェクトはバケット所有者によって所有されます。 詳細については、Amazon S3 の Identity and Access Management を参照してください。
Amazon Macie
Amazon Macie を使用して Amazon S3 で機密データを大規模に検出して保護します。Macie は、バケットをスキャンしてデータを識別および分類することにより、S3 バケットの完全なインベントリを自動的に提供します。お客様は、個人識別可能情報 (PII) (顧客名やクレジットカード番号など) や、GDPR や HIPAA などのプライバシー規制によって定義されたカテゴリなど、これらの機密データタイプに適合するデータを列挙した、セキュリティに関する実用的な検出結果を受け取ります。Macie はまた、暗号化されていない、一般公開されている、または組織外のアカウントと共有されているバケットのバケットレベルの予防的制御を自動的かつ継続的に評価します。これにより、お客様は、バケットの意図しない設定にすばやく対処できるようにします。
暗号化
Amazon S3 は、すべてのバケットへのすべてのオブジェクトのアップロードを自動的に暗号化します。オブジェクトのアップロードについて、Amazon S3 は 4 つのキー管理オプションでサーバー側の暗号化をサポートします。SSE-S3 (基本レベルの暗号化)、DSSE-KMS、SSE-KMS、SSE-C、およびクライアント側の暗号化です。Amazon S3 は、アクセス許可のないユーザーによるデータへのアクセスをブロックする柔軟なセキュリティ機能を提供します。VPC エンドポイントを使用して Amazon Virtual Private Cloud (Amazon VPC) から S3 リソースに接続します。S3 オブジェクトの暗号化ステータスを確認するには、S3 インベントリを使用します (S3 インベントリの詳細についてはストレージ管理を参照)。
AWS Trusted Advisor
Trusted Advisor は、AWS 環境を検査し、セキュリティギャップを埋めるのに役立つ機会が存在する場合に推奨事項を提示します。
Trusted Advisor は、Amazon S3 バケットのログ設定、オープンアクセスのアクセス許可を持つ Amazon S3 バケットのセキュリティチェック、バージョニングが有効になっていない、またはバージョニングが一時停止されている Amazon S3 バケットの耐障害性チェックといった Amazon S3 関連のチェックを備えています。
AWS PrivateLink for S3
AWS PrivateLink for S3 を使用して、安全な仮想ネットワーク内のプライベートエンドポイントとして Amazon S3 に直接アクセスします。Virtual Private Cloud (VPC) のプライベート IP アドレスを使用して、オンプレミスまたはクラウドから S3 に接続することにより、ネットワークアーキテクチャを簡素化します。オンプレミスから S3 にアクセスするために、パブリック IP を使用したり、ファイアウォールルールを設定したり、インターネットゲートウェイを設定したりする必要がなくなりました。
データの完全性を検証する
デフォルトでは、最新の AWS SDK はすべてのアップロードの効率的な CRC ベースのチェックサムを自動的に計算します。S3 はそのチェックサムを個別に検証し、パブリックインターネット経由での転送中にデータの整合性が維持されていたことを確認した後にのみオブジェクトを受け入れます。事前に計算されたチェックサムを提供しないバージョンの SDK を使用してオブジェクトをアップロードする場合、S3 はマルチパートアップロードの場合でも、オブジェクト全体の CRC ベースのチェックサムを計算します。チェックサムはオブジェクトメタデータに保存されるため、いつでもデータの整合性を検証できます。サポートされた 5 つのチェックサムアルゴリズム (SHA-1、SHA-256、CRC32、CRC32C または CRC64NVME) から選択し、アップロードおよびダウンロードの要求のデータの完全性をチェックします。Amazon S3 からデータを保存または取得するときにチェックサムを自動的に計算および検証し、HeadObject S3 API、GetObjectAttributes S3 API または S3 Inventory レポートを使用していつでもチェックサム情報にアクセスします。
仕組み
-
AWS PrivateLink for Amazon S3
-
Amazon Macie
-
S3 ブロックパブリックアクセス
-
Amazon GuardDuty for S3
-
AWS PrivateLink for Amazon S3
-
オンプレミスから Amazon S3 への直接プライベート接続を確立します。使用を開始するには、AWS PrivateLink for S3 のドキュメントをお読みください。
-
Amazon Macie
-
機密データを大規模に検出して保護します。Amazon Macie の使用を開始するには、ウェブサイトにアクセスしてください。
-
S3 ブロックパブリックアクセス
-
現在および将来において、Amazon S3 へのすべてのパブリックアクセスをブロックします。S3 ブロックパブリックアクセスの詳細については、ウェブページにアクセスしてください。
-
Amazon GuardDuty for S3
-
インテリジェントな脅威検出、継続的なモニタリング、マルウェアスキャンにより、Amazon S3 データを保護します。Amazon GuardDuty for Amazon S3 の詳細については、ウェブページにアクセスしてください。
Amazon S3 のセキュリティ、アクセス管理、暗号化、データ保護リソース
Amazon S3 とデータ保護 Amazon S3 セキュリティとデータ保護 eBook を読んで、アクセス管理、監査とモニタリング、データ保護のためのツールとベストプラクティスを学びましょう。
この Amazon S3 データ保護概要動画では、S3 バージョニング、S3 Object Lock、S3 レプリケーションなどの Amazon S3 のネイティブデータ保護機能を説明しています。これらの S3 データ保護機能の概要を確認し、これらの機能がデータ保護の目標を達成するためにどのように役立つか学び、Amazon S3 を使用してデータを保護する方法についての有用なヒントを得ることができます。
組織は常にビジネスクリティカルなデジタルアセットを作成し、Amazon S3 へ移行しています。アセットが移行され、ワークフロー全体で使用される際、ネットワークの破損、ハードドライブの故障、またはその他の意図しない問題によってファイルが変更されないことを確認することが重要です。チェックサムとして知られるユニークなフィンガープリントを生成するために、ファイルをバイトごとにスキャンするアルゴリズムが使用されます。このテックトークでは、チェックサムを使用して、アセットがコピー時に変更されていないことを確認する方法について学びます。データの完全性チェックを加速するための Amazon S3 のチェックサムオプションを複数検討し、すべてのバイトが変更されずに転送されていることを確認し、エンドツーエンドのデータ完全性を維持する方法をご覧ください。
アーキテクチャのベストプラクティスと事前対策の徹底が、ストレージのセキュリティとアクセス制御の基礎となります。このビデオでは、Amazon S3 におけるデータセキュリティのベストプラクティスを学びます。Amazon S3 のセキュリティアーキテクチャの基本を確認し、ユーザビリティと機能性における最新の拡張を深く掘り下げます。暗号化、アクセス制御、セキュリティ監視、監査、修復のオプションを検討します。
Amazon S3 は、すべてのバケットへのすべてのオブジェクトのアップロードを自動的に暗号化します。オブジェクトのアップロードについて、Amazon S3 は 4 つのキー管理オプションでサーバー側の暗号化をサポートします。SSE-S3 (基本レベルの暗号化)、DSSE-KMS、SSE-KMS、SSE-C、およびクライアント側の暗号化です。Amazon S3 では、あらゆるワークロードに合わせてきめ細かなアクセスコントロールが可能です。この動画では、Amazon S3 暗号化とアクセスコントロールのベストプラクティスを学びます。
作成時およびデフォルトでは、すべての S3 リソースはプライベートであり、リソース所有者もしくはアカウント管理者のみがアクセスできます。このセキュリティ設計により、組織、ガバナンス、セキュリティ、およびコンプライアンスの各要件に合わせて、きめ細かくアクセスポリシーを設定できます。この動画では、AWS ID およびアクセス管理 (IAM) と S3 バケットポリシーを使用してデータへのアクセスを管理するさまざまな方法を学びます。
S3 は、イレブンナインの耐久性、強力な回復力、高可用性を実現するように設計されています。ただし、最も耐久性のあるストレージでさえ、意図しない削除や偶発的な削除からの保護を提供することはできません。さらに、ランサムウェアイベントは、重要なデータのための追加の保護を評価する主な理由となっています。S3 バージョニング、S3 Cross-Region Replication (CRR)、S3 オブジェクトロックなど、追加の保護レイヤーを提供する S3 機能の詳細をご覧ください。
S3 セキュリティブログ
AWS ニュースブログ
Amazon S3 は、デフォルトで新しいオブジェクトを暗号化する
Amazon S3 は、デフォルトですべての新しいオブジェクトを暗号化します。2023 年 1 月 5 日以降、S3 は、お客様が別の暗号化オプションを指定しない限り、新しいオブジェクトごとに自動的にサーバーサイド暗号化 (SSE-S3) を適用します。この変更により、別のセキュリティのベストプラクティスが自動的に適用され、パフォーマンスへの影響もなく、ユーザー側でのアクションも必要ありません。
AWS ニュースブログ
注意: Amazon S3 のセキュリティは 2023 年 4 月に変更される予定
2023 年 4 月から、Amazon S3 に対して 2 つの変更を行い、バケットセキュリティに関する最新のベストプラクティスを自動的に有効にする予定です。対象となるリージョンにこの変更が適用されると、そのリージョンで新たに作成されるすべてのバケットは、デフォルトで S3 ブロックパブリックアクセスが有効になり、ACL は無効になります。
AWS ニュースブログ
Amazon S3 に保存されたデータのアクセス管理を簡素化する
Amazon S3 Object Ownership の新しい設定であるバケット所有者強制は、バケットとその中のオブジェクトに関連するすべての ACL を無効にすることができます。このバケットレベルの設定を適用すると、バケット内のすべてのオブジェクトは、バケットを作成した AWS アカウントが所有するようになり、アクセス許可の付与に ACL が使用されなくなります。
AWS ニュースブログ
新規 – AWS Key Management Service に保存されているキーによる Amazon S3 二重層サーバー側暗号化 (DSSE-KMS)
お客様は、Amazon S3 のオブジェクトにサーバー側暗号化の 2 つの独立した層を適用できるようになりました。AWS Key Management Service (DSSE-KMS) に保存されているキーによる二層サーバー側暗号化は、FIPS 準拠に関する国家安全保障局 (FIPS) CNSSP 15 および 2 層の CNSA 暗号化に関する保管時のデータ機能パッケージ (DAR CP) バージョン 5.0 のガイダンスに適合するように設計されています。Amazon S3 は、お客様がオブジェクトレベルで 2 層の暗号化を適用し、両方の層で使用されるデータキーを制御できる唯一のクラウドオブジェクトストレージサービスです。