Amazon S3 オリジンへのアクセスの制限 - Amazon CloudFront

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon S3 オリジンへのアクセスの制限

CloudFront では、認証されたリクエストを Amazon S3 オリジンに送信する 2 つの方法として、オリジンアクセスコントロール (OAC) とオリジンアクセスアイデンティティ (OAI) があります。OAC は以下をサポートしているため、OAC の使用をお勧めします。

  • すべての AWS リージョンのすべての Amazon S3 バケット (2022 年 12 月以降に開始されたオプトインリージョンを含む)

  • AWS KMS による Amazon S3 サーバー側の暗号化 (SSE-KMS)

  • Amazon S3 に対する動的なリクエスト (PUTDELETE)

オリジンアクセスアイデンティティ (OAI) は、上記のリストのシナリオでは機能しないか、追加の回避策が必要です。以下のトピックでは、Amazon S3 オリジンでオリジンアクセスコントロール (OAC) を使用する方法について説明します。オリジンアクセスアイデンティティ (OAI) からオリジンアクセスコントロール (OAI) への移行方法については、「オリジンアクセスアイデンティティ (OAI) からオリジンアクセスコントロール (OAC) への移行」を参照してください。

メモ
  • Amazon S3 バケットオリジンで CloudFront OAC を使用する場合は、Amazon S3 オブジェクト所有権を、新しい Amazon S3 バケットのデフォルトであるバケット所有者強制 に設定する必要があります。ACLs が必要な場合は、バケット所有者の優先設定を使用して、 経由でアップロードされたオブジェクトの制御を維持します CloudFront。

  • オリジンがウェブサイトエンドポイント として設定された Amazon S3 バケットである場合は、 をカスタムオリジン CloudFront として設定する必要があります。つまり、OAC (または OAI) を使用することはできません。OAC は Lambda@Edge を使用したオリジンリダイレクトをサポートしていません。

トピック

新しいオリジンアクセスコントロールの作成

で新しいオリジンアクセスコントロールを設定するには、以下のトピックで説明するステップを実行します CloudFront。

前提条件

オリジンアクセスコントロール (OAC) を作成して設定する前に、 CloudFrontAmazon S3 バケットオリジンを持つディストリビューションが必要です。このオリジンは、ウェブサイトエンドポイントとして設定されたバケットではなく、通常の S3 バケットである必要があります。S3 バケットオリジンを使用した CloudFront ディストリビューションの設定の詳細については、「」を参照してくださいシンプルな CloudFront ディストリビューションの開始方法

注記

OAC を使用して S3 バケットオリジンを保護する場合、特定の設定に関係なく、 CloudFront と Amazon S3 間の通信は常に HTTPS 経由で行われます。

S3 バケットへのアクセス許可をオリジンアクセスコントロールに付与する

オリジンアクセスコントロール (OAC) を作成したり、 CloudFront ディストリビューションで設定したりする前に、OAC に S3 バケットオリジンへのアクセス許可があることを確認してください。これは、 CloudFrontディストリビューションを作成した後、ディストリビューション設定の S3 オリジンに OAC を追加する前に行います。

S3 バケットへのアクセス許可を OAC に付与するには、S3 バケットポリシーを使用して、サービスプリンシパル (cloudfront.amazonaws.com) に CloudFrontバケットへのアクセスを許可します。ポリシーの Condition要素を使用して、リクエストが S3 オリジンを含む CloudFront ディストリビューションに代わっている場合にのみ、 がバケット CloudFront にアクセスできるようにします。

バケットポリシーの追加または変更の詳細については、Amazon S3 ユーザーガイドの「Amazon S3 コンソールを使用したバケットポリシーの追加」を参照してください。

以下は、 CloudFront OAC が S3 オリジンにアクセスできるようにする S3 バケットポリシーの例です。

例 CloudFront OAC への読み取り専用アクセスを許可する S3 バケットポリシー
{ "Version": "2012-10-17", "Statement": { "Sid": "AllowCloudFrontServicePrincipalReadOnly", "Effect": "Allow", "Principal": { "Service": "cloudfront.amazonaws.com" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::<S3 bucket name>/*", "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudfront::<AWS アカウント ID>:distribution/<CloudFront distribution ID>" } } } }
例 CloudFront OAC への読み取りおよび書き込みアクセスを許可する S3 バケットポリシー
{ "Version": "2012-10-17", "Statement": { "Sid": "AllowCloudFrontServicePrincipalReadWrite", "Effect": "Allow", "Principal": { "Service": "cloudfront.amazonaws.com" }, "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::<S3 bucket name>/*", "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudfront::<AWS アカウント ID>:distribution/<CloudFront distribution ID>" } } } }

SSE-KMS

S3 バケットオリジン内のオブジェクトが AWS Key Management Service (SSE-KMS) でのサーバー側の暗号化を使用して暗号化されている場合は、OAC に AWS KMS キーを使用するアクセス許可があることを確認する必要があります。KMS キーを使用するアクセス許可を OAC に付与するには、KMS キーポリシーにステートメントを追加します。キーポリシーを変更する方法については、AWS Key Management Service デベロッパーガイドの「キーポリシーの変更」を参照してください。

次の例は、OAC による KMS キーの使用を許可する KMS キーポリシーステートメントを示しています。

例 CloudFront OAC が SSE-KMS の KMS キーにアクセスすることを許可する KMS キーポリシーステートメント
{ "Sid": "AllowCloudFrontServicePrincipalSSE-KMS", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<AWS アカウント ID>:root", "Service": "cloudfront.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudfront::<AWS アカウント ID>:distribution/<CloudFront distribution ID>" } } }

オリジンアクセスコントロールの作成

オリジンアクセスコントロール (OAC) を作成するには、AWS Management Console、AWS CloudFormation、AWS CLI、または CloudFront API を使用できます。

Console
オリジンアクセスコントロールを作成するには
  1. にサインインAWS Management Consoleし、 で CloudFront コンソールを開きますhttps://console.aws.amazon.com/cloudfront/v4/home

  2. ナビゲーションペインで、[オリジンアクセス] を選択します。

  3. [コントロール設定を作成] を選択します。

  4. [コントロール設定を作成] フォームで、以下の操作を行います。

    1. [詳細] ペインに、[名前] と (オプションで) オリジンアクセスコントロールの [説明] を入力します。

    2. [設定] ペインでは、デフォルト設定である [Sign requests (recommended)] (署名リクエスト (推奨)) をそのまま使用することをお勧めします。詳細については、「オリジンアクセスコントロールの詳細設定」を参照してください。

  5. [Origin type] (オリジンタイプ) ドロップダウンから [S3] を選択します。

  6. [作成] を選択します。

    OAC を作成したら、[名前] を書き留めておきます。次の手順では、この操作を行う必要があります。

ディストリビューションの S3 オリジンにオリジンアクセスコントロールを追加するには
  1. で CloudFront コンソールを開きますhttps://console.aws.amazon.com/cloudfront/v4/home

  2. OAC を追加する S3 オリジンのあるディストリビューションを選択し、[オリジン] タブを選択します。

  3. OAC を追加する S3 オリジンを選択し、[編集] を選択します。

  4. オリジンアクセス でオリジンアクセスコントロール設定 (推奨) を選択します。

  5. [Origin access control] (オリジンアクセスコントロール) ドロップダウンメニューから、使用する OAC を選択します。

  6. [変更の保存] をクリックします。

ディストリビューションは、すべての CloudFront エッジロケーションへのデプロイを開始します。エッジロケーションは、新しい設定を受け取ると、S3 バケットオリジンに送信するすべてのリクエストに署名します。

CloudFormation

AWS CloudFormation を使用してオリジンアクセスコントロール (OAC) を作成するには、AWS::CloudFront::OriginAccessControl リソースタイプを使用します。以下の例は、オリジンアクセスコントロールを作成するための AWS CloudFormation テンプレート構文を YAML 形式で示しています。

Type: AWS::CloudFront::OriginAccessControl Properties: OriginAccessControlConfig: Description: An optional description for the origin access control Name: ExampleOAC OriginAccessControlOriginType: s3 SigningBehavior: always SigningProtocol: sigv4

詳細については、「 ユーザーガイド」のAWS::CloudFront::OriginAccess「コントロール」を参照してください。 AWS CloudFormation

CLI

AWS Command Line Interface (AWS CLI) を使用してオリジンアクセスコントロールを作成するには、aws cloudfront create-origin-access-control コマンドを使用します。コマンドの入力パラメータは、コマンドライン入力として個別に指定せずに、入力ファイルを使用して指定できます。

オリジンアクセスコントロール (入力ファイルを含む CLI) を作成するには
  1. 次のコマンドを使用して、origin-access-control.yaml という名前のファイルを作成します。このファイルには、create-origin-access-control コマンドのすべての入力パラメータが含まれます。

    aws cloudfront create-origin-access-control --generate-cli-skeleton yaml-input > origin-access-control.yaml
  2. 先ほど作成した origin-access-control.yaml ファイルを開きます。ファイルを編集して OAC の名前、説明 (オプション) を追加し、SigningBehavioralways に変更します。その後、ファイルを保存します。

    その他の OAC の設定については、「オリジンアクセスコントロールの詳細設定」を参照してください。

  3. 次のコマンドを使用して、origin-access-control.yaml ファイルの入力パラメータを使用し、オリジンアクセスコントロールを作成します。

    aws cloudfront create-origin-access-control --cli-input-yaml file://origin-access-control.yaml

    コマンド出力の Id 値を書き留めます。OAC を CloudFront ディストリビューションの S3 バケットオリジンに追加するには、この OAC が必要です。

OAC を既存のディストリビューションの S3 バケットオリジンにアタッチするには (入力ファイルを含む CLI)
  1. 次のコマンドを使用して、OAC を追加するディストリビューションのディストリビューション設定 CloudFrontを保存します。ディストリビューションには S3 バケットオリジンが必要です。

    aws cloudfront get-distribution-config --id <CloudFront distribution ID> --output yaml > dist-config.yaml
  2. 先ほど作成した dist-config.yaml という名前のファイルを開きます。ファイルを編集し、以下の変更を加えます。

    • Origins オブジェクトで、OriginAccessControlId という名前のフィールドに OAC の ID を追加します。

    • OriginAccessIdentity という名前のフィールドから値を削除します (存在する場合)。

    • ETag フィールドの名前を IfMatch に変更します。ただし、フィールドの値は変更しないでください。

    完了したら、ファイルを保存します。

  3. オリジンアクセスコントロールを使用するようにディストリビューションを更新するには、次のコマンドを使用します。

    aws cloudfront update-distribution --id <CloudFront distribution ID> --cli-input-yaml file://dist-config.yaml

ディストリビューションは、すべての CloudFront エッジロケーションへのデプロイを開始します。エッジロケーションは、新しい設定を受け取ると、S3 バケットオリジンに送信するすべてのリクエストに署名します。

API

CloudFront API を使用してオリジンアクセスコントロールを作成するには、 を使用しますCreateOriginAccessControl。この API コールで指定するフィールドの詳細については、AWS SDK やその他の API クライアントの API リファレンスドキュメントを参照してください。

オリジンアクセスコントロールを作成したら、次の API コールのいずれかを使用して、それをディストリビューションの S3 バケットオリジンにアタッチできます。

  • 既存のディストリビューションにアタッチするには、 を使用しますUpdateDistribution

  • 新しいディストリビューションにアタッチするには、 を使用しますCreateDistribution

これらの API コールの両方について、OriginAccessControlId フィールドのオリジン内にオリジンアクセスコントロール ID を指定します。これらの API コールで指定するその他フィールドの詳細については、「ディストリビューションを作成または更新する場合に指定する値」と、AWS SDK またはその他 API クライアントの API リファレンスドキュメントを参照してください。

オリジンアクセスアイデンティティ (OAI) からオリジンアクセスコントロール (OAC) への移行

レガシーのオリジンアクセスアイデンティティ (OAI) からオリジンアクセスコントロール (OAC) に移行するには、まず S3 バケットオリジンを更新して、OAI と OAC の両方がバケットのコンテンツにアクセスできるようにします。これにより、移行中に がバケットにアクセスできなくなる CloudFront ことがなくなります。OAI と OAC の両方が S3 バケットにアクセスできるようにするには、バケットポリシーを更新し、プリンシパルの種類ごとに 1 つずつ、2 つのステートメントを含めます。

次の S3 バケットポリシー例では、OAI と OAC の両方に S3 オリジンへのアクセスを許可しています。

例 OAI および OAC への読み取り専用アクセスを許可する S3 バケットポリシー
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCloudFrontServicePrincipalReadOnly", "Effect": "Allow", "Principal": { "Service": "cloudfront.amazonaws.com" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::<S3 bucket name>/*", "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudfront::<AWS アカウント ID>:distribution/<CloudFront distribution ID>" } } }, { "Sid": "AllowLegacyOAIReadOnly", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity <origin access identity ID>" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::<S3 bucket name>/*" } ] }

S3 オリジンのバケットポリシーを更新して OAI と OAC の両方へのアクセスを許可したら、OAI の代わりに OAC を使用するようにディストリビューション設定を更新できます。詳細については、「新しいオリジンアクセスコントロールの作成」を参照してください。

ディストリビューションが完全にデプロイされたら、OAI へのアクセスを許可するバケットポリシー内のステートメントを削除できます。詳しくは、「S3 バケットへのアクセス許可をオリジンアクセスコントロールに付与する」を参照してください。

オリジンアクセスコントロールの詳細設定

CloudFront オリジンアクセスコントロール機能には、特定のユースケースのみを対象とした詳細設定が含まれています。詳細設定が特に必要でない限り、推奨設定を使用してください。

オリジンアクセスコントロールには、[署名動作] (コンソール)、または SigningBehavior (API、CLI、および AWS CloudFormation) という設定が含まれています この設定では、次のオプションを使用できます。

オリジンリクエストに常に署名する (推奨設定)

コンソールの [Sign requests (recommended)] (署名リクエスト (推奨))、または API、CLI、および AWS CloudFormation の always という設定を使用することをお勧めします。この設定では、 CloudFront は S3 バケットオリジンに送信するすべてのリクエストに常に署名します。

オリジンリクエストに署名しない

この設定は、コンソールでは [リクエストに署名しない]、または API、CLI、およびAWS CloudFormation では never です。この設定を使用して、このオリジンアクセスコントロールを使用するすべてのディストリビューションのすべてのオリジンに対して、オリジンアクセスコントロールをオフにします。これにより、オリジンアクセスコントロールを使用するすべてのオリジンとディストリビューションからコントロールを 1 つずつ削除する場合に比べて、時間と労力を節約できます。この設定 CloudFront では、 は S3 バケットオリジンに送信するリクエストに署名しません。

警告

この設定を使用するには、S3 バケットオリジンがパブリックにアクセス可能である必要があります。パブリックにアクセスできない S3 バケットオリジンでこの設定を使用する場合は、オリジンにアクセス CloudFront できません。S3 バケットオリジンは にエラーを返し CloudFront 、 CloudFront それらのエラーをビューワーに渡します。

ビューワー (クライアント) の Authorization ヘッダーを上書きしない

この設定は、コンソールでは [認証ヘッダーを上書きしない] で、API、CLI、および AWS CloudFormation では no-override です。この設定は、対応するビューワーリクエスト CloudFront に Authorizationヘッダーが含まれていない場合にのみ、オリジンリクエストに署名する場合に使用します。この設定では、ビューワーリクエストが存在する場合、 はビューワーリクエストから Authorization ヘッダーを CloudFront 渡しますが、ビューワーリクエストに Authorizationヘッダーが含まれていない場合、オリジンリクエストに署名 (独自のAuthorizationヘッダーを追加) します。

警告

ビューワーリクエストから Authorization ヘッダーを渡すには、このオリジンアクセスコントロールに関連付けられた S3 バケットオリジンを使用するすべてのキャッシュ動作に対して、Authorization ヘッダーをキャッシュポリシー必ず追加する必要があります。

オリジンアクセスアイデンティティの使用 (レガシー、非推奨)

CloudFront オリジンアクセスアイデンティティ (OAI) は、オリジンアクセスコントロール (OAC) と同様の機能を提供しますが、すべてのシナリオで機能するわけではありません。これが、代わりに OAC の使用をお勧めする理由です。具体的には、OAI は以下をサポートしていません。

  • オプトインリージョンを含む、すべての AWS リージョンの Amazon S3 バケット

  • AWS KMS による Amazon S3 サーバー側の暗号化 (SSE-KMS)

  • Amazon S3 に対する動的なリクエスト (PUTPOST、または DELETE)

  • 2022 年 12 月以降に開始された新しい AWS リージョン

OAI から OAC への移行に関する詳細については、「オリジンアクセスアイデンティティ (OAI) からオリジンアクセスコントロール (OAC) への移行」を参照してください。

CloudFront コンソールを使用して OAI を作成するか、ディストリビューションに追加すると、Amazon S3 バケットポリシーを自動的に更新して、バケットへのアクセス許可を OAI に付与できます。あるいは、このバケットポリシーの手動での作成または更新を選択することができます。どちらの方法を使用する場合でも、アクセス許可を確認して次のことを確認する必要があります。

  • CloudFront OAI は、 を通じてリクエストしているビューワーに代わってバケット内のファイルにアクセスできます CloudFront。

  • ビューワーは、Amazon S3 URLs を使用して の外部にあるファイルにアクセスすることはできません CloudFront。

重要

が CloudFront サポートするすべての HTTP メソッドを受け入れて転送 CloudFront するように を設定する場合は、必要なアクセス許可を CloudFront OAI に付与してください。例えば、 DELETEメソッドを使用するリクエストを受け入れて転送 CloudFront するように を設定した場合、ビューワーが目的のファイルのみを削除できるように、DELETEリクエストを適切に処理するようにバケットポリシーを設定します。

Amazon S3 バケットポリシーの使用

次の方法でバケットポリシーを作成または更新することで、Amazon S3 バケット内のファイルへのアクセス権を CloudFront OAI に付与できます。

  • Amazon S3 コンソールで、Amazon S3 バケットの [アクセス許可] タブを使用する。

  • Amazon S3 API PutBucketPolicyで を使用します。 Amazon S3

  • CloudFront コンソールを使用する。 CloudFront コンソールでオリジン設定に OAI を追加する場合、はい、バケットポリシーを更新して、ユーザーに代わってバケットポリシーを更新する CloudFront ように に指示できます。

バケットポリシーを手動で更新する場合は、次の点を確認してください。

  • ポリシーで正しい OAI を Principal として指定します。

  • ビューワーに代わってオブジェクトにアクセスするために必要なアクセス許可を OAI に付与します。

詳細については、次のセクションを参照してください。

バケットポリシーで OAI を Principal として指定

Amazon S3 バケットポリシーで Principal として OAI を指定するには、OAI の ID を含む OAI の Amazon リソースネーム (ARN) を使用します。例:

"Principal": { "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity <origin access identity ID>" }

CloudFront コンソールの「セキュリティ」、「オリジンアクセス」、「アイデンティティ (レガシー)」で OAI ID を見つけます。または、 API ListCloudFrontOriginAccessIdentitiesで CloudFrontを使用します。

OAI にアクセス許可を付与

Amazon S3 バケット内のオブジェクトにアクセスするためのアクセス許可を OAI に付与するには、特定の Amazon S3 API オペレーションに関連するポリシーでアクションを使用します。例えば、s3:GetObject アクションは、OAI がバケット内のオブジェクトを読み取ることを許可します。詳細については、次のセクションの例を参照するか、Amazon Simple Storage Service ユーザーガイドの「Amazon S3 のアクション」を参照してください。

Amazon S3 バケットポリシーの例

次の例は、 CloudFront OAI が S3 バケットにアクセスできるようにする Amazon S3 バケットポリシーを示しています。

CloudFront コンソールの「セキュリティ」、「オリジンアクセス」、「アイデンティティ (レガシー)」で OAI ID を見つけます。または、 API ListCloudFrontOriginAccessIdentitiesで CloudFrontを使用します。

例 OAI に読み取りアクセスを許可する Amazon S3 バケットポリシー

次の例では、指定されたバケット (s3:GetObject) 内のオブジェクトの読み取りを OAI に許可します。

{ "Version": "2012-10-17", "Id": "PolicyForCloudFrontPrivateContent", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity <origin access identity ID>" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::<S3 bucket name>/*" } ] }
例 OAI に読み取りおよび書き込みアクセスを許可する Amazon S3 バケットポリシー

次の例では、指定されたバケット (s3:GetObjects3:PutObject) 内のオブジェクトの読み取りおよび書き込みを OAI に許可します。これにより、ビューワーは を介して Amazon S3 バケットにファイルをアップロードできます CloudFront。

{ "Version": "2012-10-17", "Id": "PolicyForCloudFrontPrivateContent", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity <origin access identity ID>" }, "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::<S3 bucket name>/*" } ] }

Amazon S3 オブジェクト ACL の使用 (非推奨)

重要

Amazon S3 バケットポリシーを使用して OAI へのアクセスを S3 バケットに与えることを推奨します。このセクションで説明したようにアクセスコントロールリスト (ACL) を使用できますが、お勧めしません。

Amazon S3 では所有権が強化されたバケットS3 オブジェクトの所有権を設定することを推奨しており、すなわち、バケットとその中のオブジェクトについて ACL が無効になっているということです。この設定を [オブジェクトの所有権] に適用する場合は、バケットポリシーを使用して OAI へのアクセスを与える必要があります (前のセクションを参照)。

次のセクションは、ACL を必要とするレガシーユースケースのみを対象としています。

CloudFront OAI に Amazon S3 バケット内のファイルへのアクセスを許可するには、次の方法でファイルの ACL を作成または更新します。

ACL を使用して OAI へのアクセスを許可する場合、Amazon S3 の正規ユーザー ID を使用して OAI を指定する必要があります。 CloudFront コンソールでは、セキュリティ、オリジンアクセスアイデンティティ (レガシー) の下にこの ID があります。 CloudFront API を使用している場合は、OAI を作成したときに返された S3CanonicalUserId要素の値を使用するか、API ListCloudFrontOriginAccessIdentitiesで を呼び出します CloudFront。

新しい Amazon S3 リージョンでは、リクエストの認証用に署名バージョン 4 を使用する必要があります。(各 Amazon S3 リージョンでサポートされている署名バージョンについては、「AWS 全般のリファレンス」の「Amazon Simple Storage Service エンドポイントおよびクォータ」を参照してください)。オリジンアクセスアイデンティティを使用しており、バケットが、署名バージョン 4 が必要なリージョンの 1 つにある場合、以下の点に注意してください。

  • DELETEGETHEADOPTIONS、および PATCH リクエストは条件なしでサポートされます。

  • POST リクエストはサポートされません。