View a markdown version of this page

よくある質問 - AWS 規範ガイダンス
署名付きリクエストは複数回使用できますか? これはセキュリティリスクですか?目的のユーザー以外のユーザーが署名付きリクエストを使用できますか?承認されたユーザーは、署名付きリクエストを使用してデータを抽出できますか?署名付き URL が不正な方法で共有されていると思われる場合、その URL からのアクセスを拒否できますか?

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

よくある質問

署名付きリクエストは複数回使用できますか? これはセキュリティリスクですか?

はい。署名付きリクエストの署名は複数回使用できます。これがセキュリティリスクかどうかは、コンテキストに応じた質問です。AWS のサービスにアクセスする他の方法でも、繰り返しが可能です。 AWS 認証情報を持つユーザーまたはワークロードは、多数のリクエストを に送信でき AWS のサービス、それらのリクエストは重複する可能性があります。

ユースケースで 1 回のみの実行が必要な場合は、他のメカニズムを実装して 1 回の使用を強制する必要があります。1 回の使用は、署名付きリクエストの機能ではありません。セキュリティエンジニアはユースケースと実装を確認する必要がありますが、多くの場合、複数回使用すると許容可能な使用に適します。

目的のユーザー以外のユーザーが署名付きリクエストを使用できますか?

署名付きリクエストの署名は、それを所有するすべてのユーザーが送信できます。データ境界制御など、他の形式の検証に合格した場合にのみ受け入れられます。署名の有効期限が切れている場合、署名認証情報の有効期限が切れている場合、または署名認証情報がリクエストされたリソースにアクセスできない場合、リクエストは拒否されます。

他の認証方法でも同じことが言えます AWS のサービス。不適切に共有された認証情報は、不適切なアクセスを許可します。主なベストプラクティスは、認証情報と署名を目的の対象者とのみ共有することです。プライベートデータを安全に保ち、他のユーザーと共有できないように対象者を信頼できない場合、あらゆる形式の認証が損なわれます。

承認されたユーザーは、署名付きリクエストを使用してデータを抽出できますか?

データを保護するには、堅牢なアクションが必要です。データ境界を維持しながら目的のアクセスを有効にするには、包括的なアプローチが必要です。 最小特権アクセスデータ境界制御、一時的なアクセス認証情報のみの使用は、データの保護に適用される一般的なベストプラクティスです。これらのコントロールを適切に使用すると、ユーザーが生成する署名付きリクエストを通じてアクションを実行する機能も制限されます。

これは、署名付きリクエストによって提供されるアクセスが、リクエストの署名に使用される認証情報に付与されるアクセスのサブセットであるためです。このコンテキストでは、データへのアクセスに適用されるベストプラクティスは通常、署名付きリクエストに適用されますが、署名付きリクエストはデータへの新しいアクセスを作成しません。 

  • 最大有効期限は、署名認証情報の有効期限に制限されます。 署名認証情報が取り消された場合、認証情報に基づく署名は無効になります。

  • 署名認証情報に関連付けられている IAM プリンシパルのアクセス許可に、署名付きリクエストに関連付けられたアクションの実行が含まれていない場合、署名付きリクエストを呼び出すと、「アクセス拒否」レスポンスが発生します。 レスポンスは、呼び出し時のアクセス許可の現在の状態によって異なります。この状態は、署名付きリクエストの署名が生成された時刻とは関係ありません。 

  • プリンシパルのプロパティは、署名認証情報に関連付けられているプリンシパルに基づいて評価されます。 

  • ロールセッションのプロパティは、署名認証情報に関連付けられているロールセッションに基づいて評価されます。

  • ネットワークのプロパティは、通常のリクエストと同様に、リクエストの受信方法に基づいて評価されます。 

このコンテキストでは、署名付きリクエストに関連するリスクの調査は、ユーザーの認証情報とは異なる認証情報で署名され、ユーザーのプリンシパルに含まれていないアクセスを提供する領域に制限されます。この調査は、署名付きリクエスト機能自体ではなく、ユーザーに代わって署名を生成するサービス、ワークロード、またはソリューションの設計に適用する必要があります。

署名付き URL が不正な方法で共有されていると思われる場合、その URL からのアクセスを拒否できますか?

はい。これには、URL が署名された認証情報を無効にする必要があります。これを実現するには、複数の方法があります。

  • 認証情報が属する IAM プリンシパルからアクセス許可を削除します。その IAM プリンシパルが URL が署名されているリソースとオペレーションにアクセスできなくなった場合、URL はそのオペレーションを実行できません。これは、その IAM プリンシパルからの一致するすべての使用に影響します。

  • URL の署名に使用される認証情報が一時的な AWS STS 認証情報である場合は、IAM プリンシパルの特定の時間前に発行された一時的な認証情報のセッションアクセス許可を取り消すことができます。ユースケースによっては、他の有効なセッションが通常の有効期限より前に無効になる場合がありますが、新しいセッションは影響を受けません。セッションのアクセス許可を取り消すと、それらのセッションに関連付けられた認証情報を使用して署名された URLs も無効になりますが、新しいセッションに関連付けられた新しい URLs は影響を受けません。

  • URL の署名に使用される認証情報が永続的な認証情報である場合は、アクセスキーを非アクティブ化します。これは、これらの認証情報に関連するすべての使用に影響します。