オブジェクト所有権設定を監査するための S3 の使用 - Amazon Simple Storage Service
ステップ 1: オブジェクト所有権設定の一般的な傾向を特定するステップ 2: オブジェクト所有権設定のバケットレベルの傾向を把握する ステップ 3: オブジェクト所有権の設定をバケット所有者強制に更新し、ACL を無効にする

オブジェクト所有権設定を監査するための S3 の使用

Amazon S3 オブジェクト所有権は、S3 バケットレベルの設定で、アクセスコントロールリスト (ACL) を無効にし、バケット内のオブジェクトの所有権を制御するために使用できます。オブジェクト所有権をバケット所有者強制に設定する場合、アクセスコントロールリスト (ACL) を無効にして、バケット内のすべてのオブジェクトの所有権を取得できます。この方法により、Amazon S3 に保存されているデータのアクセス管理を簡素化できます。

デフォルトでは、別の AWS アカウント がオブジェクトを S3 バケットにアップロードすると、そのアカウント (オブジェクトライター) がオブジェクトを所有し、そのオブジェクトにアクセスでき、ACL を介して他のユーザーにそのオブジェクトへのアクセスを許可できます。オブジェクトの所有権を使用して、このデフォルトの動作を変更できます。

Amazon S3 の最新のユースケースの大部分では ACL を使用する必要がなくなっています。そのため、オブジェクトごとに個別に制御する必要がある異常な状況を除き、ACL を無効にすることをお勧めします。オブジェクトの所有権をバケット所有者に強制設定することで、ACL を無効にして、アクセスコントロールに関するポリシーに依存できます。詳細については、「オブジェクトの所有権の制御とバケットの ACL の無効化。」を参照してください。

S3 ストレージレンズのアクセス管理メトリクスを使用すると、ACL が無効になっていないバケットを特定できます。これらのバケットを特定したら、ACL のアクセス許可をポリシーに移行し、これらのバケットの ACL を無効にできます。

ステップ 1: オブジェクト所有権設定の一般的な傾向を特定する

  1. AWS Management Console にサインインし、Amazon S3 コンソール https://console.aws.amazon.com/s3/ を開きます。

  2. ナビゲーションペインで、[Storage Lens] (ストレージレンズ)、[Dashboards] (ダッシュボード) の順にクリックします。

  3. [Dashboards] (ダッシュボード) リストで、表示するダッシュボードを選択します。

  4. [Snapshot for date] (日付のスナップショット) セクションの [Metrics categories] (メトリクスのカテゴリ) で、[Access management] (アクセス管理) を選択します。

    [Snapshot for date] (日付のスナップショット) セクションが更新され、[% Object Ownership bucket owner enforced] (% オブジェクト所有権のバケット所有者強制) メトリクスが表示されます。アカウントまたは組織内のバケットで、オブジェクト所有権のバケット所有者強制設定を使用して ACL を無効にしているバケット全体の割合を確認することができます。

ステップ 2: オブジェクト所有権設定のバケットレベルの傾向を把握する

  1. AWS Management Console にサインインし、Amazon S3 コンソール https://console.aws.amazon.com/s3/ を開きます。

  2. ナビゲーションペインで、[Storage Lens] (ストレージレンズ)、[Dashboards] (ダッシュボード) の順にクリックします。

  3. [Dashboards] (ダッシュボード) リストで、表示するダッシュボードを選択します。

  4. バケットレベルの詳細なメトリクスを表示するには、[Bucket] (バケット) タブを選択します。

  5. [Distribution by buckets for date] (日付のバケットによる配分) セクションで、[% Object Ownership bucket owner enforced] (% オブジェクト所有権のバケット所有者強制) メトリクスを選択します。

    グラフが更新され、[% Object Ownership bucket owner enforced].(% オブジェクト所有権のバケット所有者強制) のバケットごとの内訳が表示されます。どのバケットがオブジェクト所有権のバケット所有者強制設定を使用して ACL を無効にしているかを確認できます。

  6. バケット所有者強制設定をコンテキストで確認するには、[Buckets] (バケット) セクションまでスクロールします。[Metrics categories] (メトリクスのカテゴリ) で、[Access management] (アクセス管理) を選択します。次に、[Summary] (概要) を選択解除します。

    [Buckets] (バケット) リストには、バケット所有者強制、バケット所有者優先、オブジェクト作成者の 3 つのオブジェクト所有権設定すべてのデータが表示されます。

  7. [Buckets] (バケット) リストをフィルタリングして特定のオブジェクト所有権設定のみのメトリクスを表示するには、設定アイコン ( A screenshot that shows the preferences icon in the S3 Storage Lens dashboard. ) を選択します。

  8. 表示しないメトリクスを選択解除します。

  9. (オプション) [Page size] (ページサイズ) で、リストに表示するバケットの数を選択します。

  10. [確認] を選択してください。

ステップ 3: オブジェクト所有権の設定をバケット所有者強制に更新し、ACL を無効にする

オブジェクト所有権にオブジェクト作成者およびバケット所有者優先設定を使用しているバケットを特定したら、ACL アクセス許可をバケットポリシーに移行できます。ACL アクセス許可の移行が完了したら、オブジェクト所有権の設定をバケット所有者強制に更新して ACL を無効にできます。詳細については、「ACL を無効にする前提条件。」を参照してください。