基本的なベストプラクティス

他の AWS API リクエストの効果的なコントロールである一般的なベストプラクティスは、署名付きリクエストにも適用されます。このセクションでは、最小特権とデータ境界の 2 つの最も関連性の高いプラクティスを確認します。これらのプラクティスは、他のプラクティスが拡張する詳細なコントロールを作成します。

最小特権の原則を適用する

署名付きリクエストの使用を制限する最初のステップは、一般的に Amazon S3 へのアクセスを制限することです。署名付き URL は、署名付き URL の署名を生成したプリンシパルに付与されていないリソースへのアクセスを提供することはできません。また、そのプリンシパルに付与されていない方法でリソースへのアクセスを提供することはできません。そのため、ベストプラクティスを適用してこれらのプリンシパルに最小特権を付与することは、効果的なガードレールです。

署名付き URL を作成するプロセスは、署名生成のために公開された標準 (署名バージョン 4) に基づくアルゴリズムオペレーションです。したがって、署名付き URLs の生成に制限を設定することはできません。ただし、関連するには、署名付き URL が有効で、リソースへのアクセスを提供する必要があるため、署名付き URL の有効性も有効なガードレールです。

最小特権の詳細については、 AWS 「 Well-Architected フレームワーク、セキュリティの柱」の「最小特権アクセスを付与する」を参照してください。

データ境界を実装する

最小特権の拡張は、組織のニーズに沿ったデータ境界を維持することです。署名付き URLs はデータ境界と互換性があります。他のリクエストと同様に、署名付き URL リクエストの有効性はリクエスト時に評価されます。ネットワーク、リソース、ロールセッション、およびプリンシパルのプロパティが変更された場合は、リクエストを受信する方法を使用して、その時点で評価されます。

例えば、Amazon Elastic Kubernetes Service (Amazon EKS) コンテナで実行されているサービスがリクエストに署名するとします。リクエストは、後でインターネットに接続されているユーザーのパーソナルコンピュータシステムから送信されます。この場合、aws:SourceIp 条件は、Amazon EKS コンテナ内のサービスの IP アドレスではなく、ユーザーの個人システムからのリクエストの可視パブリック IP アドレスを評価します。

同様に、リクエストの送信前にプリンシパルまたはリソースのタグが変更された場合、元の値ではなく更新された値が、aws:PrincipalTag/tag-key および aws:ResourceTag/tag-key 条件を通じてリクエストに適用されます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

署名付きリクエストを使用するためのベストプラクティス

追加のガードレール