Amazon S3 でのインフラストラクチャセキュリティ - Amazon Simple Storage Service

Amazon S3 でのインフラストラクチャセキュリティ

マネージド型サービスである Amazon S3 は、ホワイトペーパー「アマゾン ウェブ サービスのセキュリティプロセスの概要」に記載されている AWS グローバルネットワークセキュリティの手順で保護されています。

ネットワークを介した Amazon S3 へのアクセスは、AWS が発行する API を利用して行われます。クライアントは Transport Layer Security (TLS) 1.0 をサポートしている必要があります。TLS 1.2 をお勧めします。また、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもサポートしている必要があります。さらに、AWS Signature V4 または AWS Signature V2 を使用してリクエストに署名する必要があります。そのためには、有効な認証情報を提供する必要があります。

これらの API はネットワークの任意の場所から呼び出すことができます。ただし、Amazon S3 はリソースベースのアクセスポリシーをサポートしており、それらのポリシーには、ソース IP アドレスに基づく制限を含めることができます。Amazon S3 バケットポリシーを使用して、特定の Amazon Virtual Private Cloud (Amazon VPC) エンドポイントまたは特定の VPC からバケットへのアクセスをコントロールすることもできます。これにより効果的に、AWS ネットワーク内の特定の VPC から特定の Amazon S3 バケットへのネットワークアクセスのみが分離されます。詳細については、「Amazon S3 の VPC エンドポイント用のバケットポリシーの例」を参照してください。

以下のセキュリティのベストプラクティスも Amazon S3 でのインフラストラクチャのセキュリティに対処します。