AWS Configを使用して、S3バケットがパブリックアクセス可能か監視する

今回はパブリックアクセスを許可しているS3バケットが作成されていないか、監視するAWS Configのルールを作成してみます。

手順1: publicアクセス可能なS3バケット作成する

手順2: AWS Configを開き、ルールを選択

手順3:「ルールを作成」ボタンを押下

手順4: パブリック読み取りアクセス可能なバケットを監視するルールを作成

検索バーに「s3-bucket-public-read-prohibited」を入力する
マネージド型ルールがひっかかるので、選択し「次へ」ボタンを押下する。
その後のルールは任意で設定し（デフォルトのままでも良い）、ルールを保存する。


※パブリック書き込み可能なバケットを監視したい場合は、「s3-bucket-public-write-prohibited」を入力しルールを設定する。

手順5: S3バケットが非準拠してることの確認

１分くらい待つと検出評価が完了するので、1で作成したS3バケットが非準拠となっていることを確認する。




修復アクションも設定すれば、非準拠した際に修復を実行できます。


参考
https://repost.aws/ja/knowledge-center/flag-buckets-aws-config