S3アクセス制御の設計ポイント

アジェンダ ⚫ 自己紹介 ⚫ S3バケットへのアクセス制御方法 ⚫ アクセス制御の設計ポイント ⚫ まとめ

自己紹介

自己紹介 ⚫ 名前：富田惠仁 (@mohanashi999) ⚫ 所属：イメージソリューションとかやるSIer ⚫ 趣味：野球観戦（贔屓は福岡の某球団） ⚫
好きなAWSサービス：Step Functions

S3バケットのアクセス制御方法

S3バケットのアクセス制御方法その前に

S3バケットの利用ケース S3バケットは、高い耐久性や可用性、低コスト等といった点から、様々な用途での利用が想定される・アプリケーションデータの保管・静的Webコンテンツ・ログ集約・バックアップ・アーカイブ・データ分析等々・・・

S3バケットの利用ケース S3バケットは、高い耐久性や可用性、低コスト等といった点から、様々な用途での利用が想定される・アプリケーションデータの保管・静的Webコンテンツ・ログ集約・バックアップ・アーカイブ・データ分析等々・・・
便利な反面、考慮すべきこともある

S3バケットのアクセス制御方法改めて・・・

S3バケットへのアクセス制御方法主に以下にてアクセス制御を行うことが可能。 ⚫ S3バケットポリシー ⚫ S3アクセスポイント（ポリシー） ⚫ IAMポリシー ⚫ VPCエンドポイントポリシー
※VPC内からアクセスがある場合 ⚫ KMSキーポリシー ※CMK利用の場合＜今回の対象外＞（通称言い訳リスト） • アクセスコントロールリスト（ACL）でも制御可能ですが、現在非推奨のため、今回の対象外とします • ブロックパブリックアクセスでも制御可能ですが、名前のとおりパブリックアクセスをブロック可否だけであるため、今回の対象外とします • 署名付きURLでも制御可能ですが、一時的なものであるため今回の対象外とします • Organizationsのサービスコントロールポリシー（SCP）やリソースコントロールポリシー（RCP）でも制御可能ですが、マルチアカウントを考慮する場合、内容が煩雑になるので便宜上、今回の対象外とします • CloudFront経由でアクセスする場合はOACやOAI（非推奨）等もありますが、S3バケットポリシーやブロックパブリックアクセス等の+@といった立ち位置になるため、今回の対象外とします

S3バケットポリシーによるアクセス制御超ざっくりにS3バケットポリシーとは・・・ S3バケットと配下のオブジェクトへのアクセスを制御するリソースベースのポリシー AWS Cloud Lambda EC2 S3 ◆アーキテクチャ例

S3アクセスポイント（ポリシー）によるアクセス制御超ざっくりにS3アクセスポイントとは・・・ S3バケットに対して用途ごとに専用のアクセスするポイントを作成する機能超ざっくりにS3アクセスポイントポリシーとは・・・特定のS3アクセスポイント経由のアクセスを制御するリソースベースのポリシー AWS Cloud Lambda EC2 S3
◆アーキテクチャ例アクセスポイントアクセスポイント S3バケットポリシーは、バケット全体に適用するため、複数のアクセス設定を１つで行うことになるが、アクセスポイントを利用すれば、各用途ごとにアクセス設定が可能となる。そのため管理がシンプルになり、メンテナンス等も行いやすい。仕様上ポリシーサイズが20,480バイト以内である必要があるので、バケットポリシーのみだと、規模によっては定義しきれない・拡張できないといったこともあるが、それらを防ぐこともできる。

IAMポリシーによるアクセス制御超ざっくりにIAMポリシーとは・・・ IAMユーザー／グループ／ロールが実行できるアクションと対象リソースを制御するアイデンティティベースのポリシー AWS Cloud Lambda EC2 S3 ◆アーキテクチャ例
IAMロール（IAMポリシー） IAMロール（IAMポリシー）

VPCエンドポイントポリシーによるアクセス制御超ざっくりにVPCエンドポイントポリシーとは・・・どのAWSプリンシパルがVPCエンドポイント経由で対象サービスにアクセスできるかを制御する、 VPCエンドポイントに適用するリソースベースのポリシー（エンドポイント経由のアクセスにのみ適用） AWS Cloud Lambda EC2 S3
◆アーキテクチャ例 IAMロール（IAMポリシー） IAMロール（IAMポリシー） VPC VPCエンドポイント（ゲートウェイ型）

KMSキーポリシーによるアクセス制御超ざっくりにKMSキーポリシーとは・・・ KMSキーへのアクセスを制御するリソースベースのポリシー (AWSマネージドキーの場合はポリシー編集不可) AWS Cloud Lambda EC2 S3 ◆アーキテクチャ例
KMS(CMK)

アクセス制御の設計ポイント

前提：システム構成文章だけだとイメージしづらいため、Webサイトに画像ファイルをアップロードすると、変換してくれるアプリケーションがあると仮定します。(かなりざっくりでテキトーです。) アプリケーションバケットA EC2 VPCエンドポイント（ゲートウェイ型） AWS Cloud
VPC Lambda ALB WAF クライアント

①S3バケットの整理 ①各S3バケット(対象)に何のデータを格納するかを整理 ※この時に、機密データ有無やCMK利用有無も整理する

①S3バケットの整理 ①各S3バケット(対象)に何のデータを格納するかを整理 ※この時に、機密データ有無やCMK利用有無も整理するそうすることで、以下のアクセス制御部分が判別可能 ⚫ S3バケットポリシー ※全S3バケットで設定可能のため対象外 ⚫ S3アクセスポイント（ポリシー） ※全S3バケットで設定可能のため対象外
⚫ IAMポリシー ⚫ VPCエンドポイントポリシー ※VPC内からアクセスがある場合 ⚫ KMSキーポリシー ※CMK利用の場合

S3バケット対象格納データ機密データ CMK CloudTrailログ保管バケット CloudTrailログ Config構成履歴保管バケット Config構成履歴 GuardDuty脅威検出ログ保管バケット
GuardDuty脅威検出ログ • VPCフローログ保管バケット VPCフローログ WAFログ保管バケット Web ACLトラフィックログ ALBログ保管バケット ALBアクセスログ、接続ログアプリケーションバケットA 画像ファイル • アプリケーションログ保管バケットA Cloudwatch Logsログ (EC2アプリログ、Lambda実行ログ等) ①S3バケットの整理 ①各S3バケット(対象)に何のデータを格納するかを整理 ※この時に、機密データ有無やCMK利用有無も整理する ◆システム構成に対する整理例

②アクセスパターンの整理前段の①に対して、誰が(主体)、何のために(目的)、どのようにアクセスし(経路)、何をする(操作)かを整理 ※この時に、それぞれのアクセスパターンに対して、IAMポリシー有無およびVPCエンドポイント経由有無もあわせて整理する

②アクセスパターンの整理前段の①に対して、誰が(主体)、何のために(目的)、どのようにアクセスし(経路)、何をする(操作)かを整理 ※この時に、それぞれのアクセスパターンに対して、IAMポリシー有無およびVPCエンドポイント経由有無もあわせて整理するそうすることで、以下のアクセス制御部分が判別可能 ⚫ S3バケットポリシー ※全S3バケットで設定可能のため対象外 ⚫
S3アクセスポイント（ポリシー） ※全S3バケットで設定可能のため対象外 ⚫ IAMポリシー ⚫ VPCエンドポイントポリシー ※VPC内からアクセスがある場合 ⚫ KMSキーポリシー ※CMK利用の場合

S3バケット誰が何のためにどのようにアクセスし何をする対象格納データ機密データ CMK 主体
IAMポリシー目的経路 VPCE経由操作 CloudTrailログ保管バケット CloudTrailログ CloudTrail 監査証跡の長期保管と改ざん検知（整合性検証）、組織集約のため主体サービスからAWS内部ネットワーク経由書き込み Config • 構成履歴／スナップショットの監査・追跡・再評価のため主体サービスからAWS内部ネットワーク経由読み取り・リスト運用・保守担当者 • 運用・保守作業運用・保守担当者の端末からインターネット経由読み取り・リスト・書き込み Config構成履歴保管バケット Config構成履歴 Config • 構成履歴／スナップショットの監査・追跡・再評価のため主体サービスからAWS内部ネットワーク経由書き込み運用・保守担当者 • 運用・保守作業運用・保守担当者の端末からインターネット経由読み取り・リスト・書き込み GuardDuty脅威検出ログ保管バケット GuardDuty脅威検出ログ • GuardDuty 検知結果のアーカイブのため主体サービスからAWS内部ネットワーク経由書き込み Config • 構成履歴／スナップショットの監査・追跡・再評価のため主体サービスからAWS内部ネットワーク経由読み取り運用・保守担当者 • 運用・保守作業運用・保守担当者の端末からインターネット経由読み取り・リスト・書き込み VPCフローログ保管バケット VPCフローログ VPC 通信データのトラブルシュート／セキュリティ分析のため主体サービスからAWS内部ネットワーク経由書き込み Config • 構成履歴／スナップショットの監査・追跡・再評価のため主体サービスからAWS内部ネットワーク経由読み取り運用・保守担当者 • 運用・保守作業運用・保守担当者の端末からインターネット経由読み取り・リスト・書き込み WAFログ保管バケット Web ACLトラフィックログ WAF ヒット／ブロックログの可視化・分析と事後調査のため主体サービスからAWS内部ネットワーク経由書き込み Config • 構成履歴／スナップショットの監査・追跡・再評価のため主体サービスからAWS内部ネットワーク経由読み取り運用・保守担当者 • 運用・保守作業運用・保守担当者の端末からインターネット経由読み取り・リスト・書き込み ALBログ保管バケット ALBアクセスログ、接続ログ ALB アクセス解析・異常検知・障害調査のため主体サービスからAWS内部ネットワーク経由書き込み Config • 構成履歴／スナップショットの監査・追跡・再評価のため主体サービスからAWS内部ネットワーク経由読み取り運用・保守担当者 • 運用・保守作業運用・保守担当者の端末からインターネット経由読み取り・リスト・書き込みアプリケーションバケットA 画像ファイル • EC2 • アプリケーション処理主体サービスからAWS内部ネットワーク経由 • 読み取り・リスト・書き込み Lambda • アプリケーション処理主体サービスからAWS内部ネットワーク経由読み取り・リスト・書き込み Config • 構成履歴／スナップショットの監査・追跡・再評価のため主体サービスからAWS内部ネットワーク経由読み取り運用・保守担当者 • 運用・保守作業運用・保守担当者の端末からインターネット経由読み取り・リストアプリケーションログ保管バケットA Cloudwatch Logsログ DataFirehose • ログの長期保管（障害調査等のため）主体サービスからAWS内部ネットワーク経由書き込み (EC2アプリログ、Lambda実行ログ等) Config • 構成履歴／スナップショットの監査・追跡・再評価のため主体サービスからAWS内部ネットワーク経由読み取り運用・保守担当者 • 運用・保守作業運用・保守担当者の端末からインターネット経由読み取り・リスト・書き込み ※本来はアクションベースでもう少し詳細化が望ましい ②アクセスパターンの整理前段の①に対して、誰が(主体)、何のために(目的)、どのようにアクセスし(経路)、何をする(操作)かを整理 ※この時に、それぞれのアクセスパターンに対して、IAMポリシー有無およびVPCエンドポイント経由有無もあわせて整理する ◆システム構成に対する整理例

③アクセス制御の設計どの箇所で、どのように制御するかの万能な正解はない。そのため、要件やデータ特性（機密性など）、運用面等を考慮して設計する必要がある。例えば、セキュリティ要件が厳しい場合は、多層防御として各ポイントでそれぞれフルカスタムのアクセス制御を行うことで、一部で誤設定などがあったとしても、別ポイントで制御可能なためリスクを低減できる。一方で、複雑化するため、トラブルシュートに時間を要したり、設定変更時は全てに対して反映する必要があったりとデメリットもあり。

まとめ

まとめ１．S3バケットのアクセス制御方法は主に以下がある ⚫ S3バケットポリシー ⚫ S3アクセスポイント（ポリシー） ⚫ IAMポリシー ⚫ VPCエンドポイントポリシー（VPC内からアクセスがある場合）
⚫ KMSキーポリシー（CMK利用の場合）２．どの箇所でどのようにアクセス制御するかは、S3バケットやアクセスパターンを整理し、要件やデータ特性、運用面等を考慮して設計する必要がある

まとめ１．S3バケットのアクセス制御方法は主に以下がある ⚫ S3バケットポリシー ⚫ S3アクセスポイント（ポリシー） ⚫ IAMポリシー ⚫ VPCエンドポイントポリシー（VPC内からアクセスがある場合）
⚫ KMSキーポリシー（CMK利用の場合）２．どの箇所でどのようにアクセス制御するかは、S3バケットやアクセスパターンを整理し、要件やデータ特性、運用面等を考慮して設計する必要があるセキュリティは誰かが守るものではなく、みんなで守るものです（みんなの責任）そのため、ロールなどに関係なく、みんなで安全なシステムを築いていきましょう！

ご清聴ありがとうございました！

S3アクセス制御の設計ポイント

S3アクセス制御の設計ポイント

tommy

More Decks by tommy

Other Decks in Technology

Featured

Transcript