306-AWS SAP AWS 「理論・実践・一問道場」S3パスがaws:username

type

status

date

slug

summary

理論

AWS S3 は大規模なデータストレージのためのオブジェクトストレージサービスで、非常に柔軟でスケーラブルなデータ管理を提供します。しかし、機密データやアクセス制限が重要な場合、適切なアクセス管理と監査が必要です。以下は、S3のアクセス管理、監査、そしてセキュリティに関連する重要なコンセプトと機能です。

1. S3のアクセス管理方法

IAMポリシーとS3バケットポリシー

IAMポリシー: ユーザーやグループに対して、特定のアクション（例えば、S3バケットの読み取りや書き込み）の許可・拒否を定義できます。これにより、アクセス範囲をきめ細かく制御できます。

例: aws:username を使ってユーザー固有のアクセス制御を行う（Aの選択肢）。

S3バケットポリシー: バケット単位でアクセス制御を行うためのポリシーです。特定のユーザーやIPアドレス、アクションに対するアクセス権限を設定できます。

例: バケットポリシーで特定のIAMグループにアクセス権を付与する。

S3バケットのパスベースアクセス制御

バケット内の特定のオブジェクトやフォルダにアクセスできるかどうかを、プレフィックス（パス）で制限することができます。これにより、各ユーザーが自分のフォルダのみアクセスするように設定することが可能です。

例: ユーザーusernameに対して、s3://bucket-name/username/ プレフィックスのオブジェクトにのみアクセス許可を与える。

2. アクセス監査とログ管理

AWS CloudTrail

CloudTrailは、AWSサービスで発生したAPIコールを記録するサービスで、アクセス監査に非常に役立ちます。S3バケットへのアクセスや変更もログとして残ります。

オブジェクトレベルのイベント: CloudTrailは、S3のオブジェクトの作成、読み取り、削除、更新などの詳細な操作を記録することができます。これを利用して、誰がどのオブジェクトにアクセスしたか、いつアクセスしたかを追跡できます。
レポート生成: CloudTrailのログは、Amazon Athenaや他の分析ツールを使用して簡単にクエリし、レポートを生成することができます。

S3サーバーアクセスログ

サーバーアクセスログは、S3バケットのアクセスに関する基本的な情報（誰がどのオブジェクトにアクセスしたか）を記録します。これにより、アクセス元のIPアドレスや、どのオブジェクトがリクエストされたかなどを知ることができますが、詳細なオブジェクトレベルの情報（例えば、オブジェクトの読み取りや書き込みの詳細）は記録されません。

Amazon Athena

Athenaは、S3バケット内のデータを直接クエリできるサーバーレスのインタラクティブクエリサービスです。CloudTrailやS3のサーバーアクセスログのデータを効率的にクエリし、必要な情報を抽出することができます。

3. 監査レポートの自動化

AWS Lambda と CloudWatch

Lambdaを利用して、自動的に監査ログを収集したり、CloudWatchと連携させることができます。例えば、CloudTrailのログをリアルタイムで監視し、特定のアクションが行われた場合に通知を送るといったことが可能です。

定期的なレポート生成

Athenaで定期的にレポートを自動生成する仕組みを組み合わせることで、運用負荷を減らし、レポートを自動で作成・保存できます。

4. セキュリティのベストプラクティス

暗号化とコンプライアンス

S3では、サーバーサイド暗号化（SSE）やクライアントサイド暗号化を使用して、データを保護できます。コンプライアンス要件を満たすためには、これらの機能を利用してデータを暗号化し、機密性を保つことが重要です。

SSE-S3やSSE-KMSを使用して、データを保存時に暗号化することができます。

アクセス制御リスト（ACL）

ACLは、S3オブジェクトに対して個別にアクセス権限を設定するために使用されますが、細かいアクセス制御が可能である一方、IAMポリシーと組み合わせて使う方がより効率的です。

5. コスト最適化

バケットポリシーとIAMポリシーの使い分けによって、アクセス制限を最小限に保ちながら、運用コストを抑えることができます。詳細な監査ログやアクセスログの収集にはコストがかかるため、必要な情報だけを収集する設計が重要です。

まとめ

AWS S3を利用する場合、アクセス管理と監査は非常に重要です。IAMポリシーやバケットポリシーを組み合わせることで、データへのアクセスをきめ細かく制御でき、CloudTrailやAthenaを利用して、必要な監査ログを収集し、レポートを生成することができます。これにより、コンプライアンス要件を満たし、データセキュリティを高めつつ、運用負荷を最小限に抑えることができます。

実践

略

一問道場

問題 #306

研究センターがAWSクラウドへ移行し、オンプレミスでの1PBのオブジェクトストレージをAmazon S3バケットに移行しました。100人の科学者が、このオブジェクトストレージを使って業務関連のドキュメントを保存しています。それぞれの科学者はオブジェクトストア内に個人用フォルダを持っています。全ての科学者は1つのIAMユーザーグループのメンバーです。

研究センターのコンプライアンス責任者は、科学者が互いの作業にアクセスできることを懸念しています。また、どの科学者がどのドキュメントにアクセスしたかを報告する厳格な義務があります。この報告を担当するチームはAWSの経験が少なく、運用上の負担を最小限に抑えた即時利用可能なソリューションを求めています。

ソリューションアーキテクトがこれらの要件を満たすために取るべきアクションはどれですか？（2つ選択）

A. 各ユーザーに読み取りおよび書き込みアクセスを付与するアイデンティティポリシーを作成する。S3パスがaws:usernameで始まるプレフィックスであることを条件として追加する。このポリシーを科学者のIAMユーザーグループに適用する。

B. AWS CloudTrailでトレイルを設定し、S3バケット内の全オブジェクトレベルのイベントをキャプチャする。トレイルの出力を別のS3バケットに保存する。Amazon Athenaを使用してログをクエリし、レポートを生成する。

C. S3サーバーアクセスログを有効化し、別のS3バケットをログ配信先として設定する。Amazon Athenaを使用してログをクエリし、レポートを生成する。

D. 科学者のIAMユーザーグループに所属するユーザーに読み取りおよび書き込みアクセスを付与するS3バケットポリシーを作成する。

E. AWS CloudTrailでトレイルを設定し、S3バケット内の全オブジェクトレベルのイベントをキャプチャしてAmazon CloudWatchに書き込む。Amazon Athena CloudWatchコネクターを使用してログをクエリし、レポートを生成する。