Amazon S3 のインフラストラクチャセキュリティ

マネージドサービスとして、Amazon S3 は AWS のセキュリティの柱で説明されたグローバルネットワークセキュリティ手順 AWSWell−Architected フレームワークによって保護されます。

ネットワークを経由した Amazon S3 へのアクセスは、AWS が発行する API を介して行われます。クライアントは Transport Layer Security (TLS) 1.2 をサポートしている必要があります。TLS 1.3 もサポートすることをお勧めします  (この推奨事項の詳細については、AWS セキュリティブログの「TLS 1.3 による AWS クラウド接続の高速化」を参照してください)。また、Ephemeral Diffie−Hellman (DHE) や Elliptic Curve Ephemeral Diffie−Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもサポートしている必要があります。さらに、AWS Signature V4 または AWS Signature V2 を使用してリクエストに署名する必要があります。そのためには、有効な認証情報を提供する必要があります。

これらの API はネットワークの任意の場所から呼び出すことができます。ただし、Amazon S3 はリソースベースのアクセスポリシーをサポートしており、それらのポリシーには、ソース IP アドレスに基づく制限を含めることができます。Amazon S3 のバケットポリシーを使用して、特定の Virtual Private Cloud (VPC) エンドポイントまたは特定の VPC からのバケットへのアクセスを管理できます。これにより、実質的に AWS ネットワーク内の特定の VPC からのみ特定の Amazon S3 バケットへのネットワークアクセスが分離されます。詳細については、バケットポリシーを使用した VPC エンドポイントからのアクセスコントロール を参照してください。

以下のセキュリティのベストプラクティスも Amazon S3 でのインフラストラクチャのセキュリティに対処します。

• Consider VPC endpoints for Amazon S3 access

• Identify and audit all your Amazon S3 buckets