ここ最近 Amazon S3 の設定ミスによる情報漏えい事故が多発しています。「なんでまたそんなミスを(笑)」と思っていたのですが、個人で使っている S3 の設定を確認したら、なんと!一部のファイルが オブジェクトACL によって、おもいっきり公開されていました(^^;) そこで今回は、Amazon S3 の オブジェクトACL を確認する方法をご紹介いたします。
参考資料:相次ぐAmazon S3の設定ミスによる情報漏えい事故 | Yahoo!ニュース
オブジェクトACL の確認方法
Amazon S3 のコンソールでバケットを確認すると「非公開」になっています。しかし、これで安心してはいけません。「オブジェクトは、オブジェクト ACL により、依然としてパブリックアクセス可能である場合があります。」という注意書きがあります。(この注意おかげでミスに気づくことができました)
バケットを開いて適当なファイルをクリックします。
「アクセス権限」タブを選択して、パブリックアクセスの「Everyone」グループに権限がついてないことを確認します。下のように Everyone の読み取り権限に「はい」がついているとアウト です。そのファイルは世界中に公開されています。
公開状態になっている場合、「概要」タブを選択して画面下のリンクをクリックすると、ファイルが表示もしくはダウンロードされてしまいます。ギャー!(非公開の場合は AccessDenied「アクセス禁止」が表示されます)
非公開にする方法
「アクセス権限」タブにもどり「Everyone」グループの左にある「○」をクリックします。
設定されている権限のチェックを外して「保存」をクリックします。
公開状態になっていた原因
公開状態になっていたファイルは、むかし小旅行にいったときの写真と使った費用のメモでした。見られても困るような内容ではありませんが、これが仕事の機密情報だったりしたらと思うとぞっとします(^^;)
Amazon S3 の オブジェクトACL は特別なことをしない限り「非公開」になります。
今回 オブジェクトACL で公開状態になっていたファイルは AWS を使いはじめた2013年頃に、いろいろ設定をテストするのに使っていたバケット内のファイルでした。まだ S3 のアクセス権の仕組みをよくわかってない頃でしたので、そこで間違って オブジェクトACL で公開設定をしてしまったのが原因だと思います。
おわりに
皆さんはこんな設定ミスはされないと思いますが、念のため Amazon S3 の オブジェクトACL を確認しておくことをオススメいたします。
コメント