Amazon S3 コンソールでのアクセスのプレビュー
Amazon S3 コンソールでバケットポリシーを完了すると、Amazon S3 バケットへの公開アクセスとクロスアカウントアクセスをプレビューできます。変更の保存を選択する前に、ポリシーの変更によって意図した外部アクセスのみが許可されていることを検証できます。このオプションの手順により、バケットの AWS Identity and Access Management Access Analyzer の検出結果のプレビューを実行できます。ポリシーの変更によって新しい検出結果が導入されるかどうか、または外部アクセスの既存の検出結果を解決するかどうかを検証できます。この検証ステップをスキップして、Amazon S3 バケットポリシーをいつでも保存できます。
バケットへの外部アクセスをプレビューするには、バケットのリージョンに、そのアカウントを信頼ゾーンとしてアクティブなアカウントアナライザが必要です。IAM Access Analyzer の使用およびアクセスのプレビューに必要な許可を持っている必要があります。IAM Access Analyzer の有効化および必要な許可の詳細については、「IAM Access Analyzer の有効化」を参照してください。
バケットポリシーを作成または編集する際に Amazon S3 バケットへのアクセスをプレビューするには
-
バケットポリシーの作成または編集が完了したら、ポリシーが有効な Amazon S3 バケットポリシーであることを確認します。ポリシー ARN はバケット ARN と一致し、ポリシー要素は有効である必要があります。
-
ポリシーの下の[Preview external access] (外部アクセスのプレビュー) で、アクティブなアカウントアナライザーを選択し、[Preview] (プレビュー) を選択します。IAM Access Analyzer の検出結果のプレビューがバケットに対して生成されます。プレビューでは、表示された Amazon S3 バケットポリシーと、既存のバケットアクセス権限が分析されます。これには、バケットとアカウント BPA 設定、バケット ACL、バケットにアタッチされた Amazon S3 アクセスポイントとマルチリージョンアクセスポイント、およびそれらのポリシーと BPA 設定が含まれます。
-
アクセスプレビューが完了すると、IAM Access Analyzer の検出結果のプレビューが表示されます。各結果では、ポリシーを保存した後、バケットへのアクセス権を持つアカウントの外部にあるプリンシパルのインスタンスが報告されます。各結果を確認することで、バケットへのアクセスを検証できます。検出結果のヘッダーではアクセスの概要を知ることができます。また、検出結果を展開して検出結果の詳細を確認できます。検出結果のバッジにより、バケットポリシーを保存することでバケットへのアクセスがどのように変更されるかについてのコンテキストを知ることができます。たとえば、ポリシーの変更によって新しい調査結果が導入されるのか、外部アクセスの既存の調査結果を解決するのかを検証するのに役立ちます。
-
新規 — ポリシーによって導入される新しい外部アクセスの検出を示します。
-
解決済み— ポリシーによって削除される既存の外部アクセスの結果を示します。
-
アーカイブ済み— 分析結果を意図したとおりにマークするタイミングを定義する分析装置のアーカイブルールに基づいて、自動的にアーカイブされる新しい外部アクセスの結果を示します。
-
既存 — 変更されない外部アクセスの既存の検出を示します。
-
公開 — 検索結果がリソースへのパブリックアクセス用である場合、公開バッジ、上記のいずれかのバッジに加えて。
-
-
導入または削除する予定のない外部アクセスを特定した場合は、ポリシーを修正し、プレビューを再度実行して、意図した外部アクセスを達成します。公開というラベルの付いた検索結果がある場合は、変更を保存を選択する前に、公開アクセスを削除するようにポリシーを改訂することをお勧めします。アクセス権のプレビューはオプションの手順で、変更の保存にいつでもアクセスできます。
