S3 バケットの誤設定
S3 バケットの誤設定 とは何ですか?
S3 バケットの誤設定Amazon S3 バケット(または相当のオブジェクトストレージ)の設定ミスで、オブジェクトを公開したり、意図しない書き込みや過剰なクロスアカウント許可を許してしまう状態。
S3 バケットの誤設定は、クラウド誤設定の中でも頻発し、被害が大きいサブクラスです。代表的なパターンとして、public-read / public-write の ACL、Principal: "*" を許す Bucket Policy、Block Public Access の未設定、不適切な Object Ownership、ポリシーと矛盾する非署名 ACL、デフォルト暗号化の未設定、アクセスログ無効化、有効期間が長すぎる Presigned URL などがあります。バケットは DNS 名で公開インターネットから到達可能なため、たった一度のミスで数 TB の顧客データ・ソースコード・バックアップが流出することがあります。対策としては、アカウントレベルでの S3 Block Public Access、非 TLS や未暗号化のアクセスを拒否する Bucket Policy、IAM Access Analyzer、SCP、CSPM による継続的なチェックが有効です。Azure Blob Storage や Google Cloud Storage にも同様の問題があります。
● 例
- 01
public-read ACL のままバックアップファイルを露出させた S3 バケット。
- 02
Principal: "*" に対して誤って s3:GetObject を許可するバケットポリシー。
● よくある質問
S3 バケットの誤設定 とは何ですか?
Amazon S3 バケット(または相当のオブジェクトストレージ)の設定ミスで、オブジェクトを公開したり、意図しない書き込みや過剰なクロスアカウント許可を許してしまう状態。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。
S3 バケットの誤設定 とはどういう意味ですか?
Amazon S3 バケット(または相当のオブジェクトストレージ)の設定ミスで、オブジェクトを公開したり、意図しない書き込みや過剰なクロスアカウント許可を許してしまう状態。
S3 バケットの誤設定 からどのように防御しますか?
S3 バケットの誤設定 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
S3 バケットの誤設定 の別名は何ですか?
一般的な別名: 公開 S3 バケット。