目次

AWS Configを使用して、S3バケットがパブリックアクセス可能か監視する
公開日: 2023年6月15日
更新日: 2023年6月17日
AWS
今回はパブリックアクセスを許可しているS3バケットが作成されていないか、監視するAWS Configのルールを作成してみます。
手順1: publicアクセス可能なS3バケット作成する
手順2: AWS Configを開き、ルールを選択
手順3:「ルールを作成」ボタンを押下
手順4: パブリック読み取りアクセス可能なバケットを監視するルールを作成
検索バーに「s3-bucket-public-read-prohibited」を入力する
マネージド型ルールがひっかかるので、選択し「次へ」ボタンを押下する。
その後のルールは任意で設定し(デフォルトのままでも良い)、ルールを保存する。
※パブリック書き込み可能なバケットを監視したい場合は、「s3-bucket-public-write-prohibited」を入力しルールを設定する。
手順5: S3バケットが非準拠してることの確認
1分くらい待つと検出評価が完了するので、1で作成したS3バケットが非準拠となっていることを確認する。
修復アクションも設定すれば、非準拠した際に修復を実行できます。
参考
https://repost.aws/ja/knowledge-center/flag-buckets-aws-config