翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ガードレールの確立と署名付き URLsのモニタリング
Ryan Baker、Amazon Web Services (AWS)
2025 年 8 月 (ドキュメント履歴)
セキュリティはすべての企業にとって重要な懸念事項であり、AWS Well-Architected フレームワークの重要な柱です。セキュリティエンジニアは、組織の統制要件に沿った管理ガードレールを実装する必要があります。 AWS Well-Architected フレームワークでは、ガードレールはアクティビティを制限する境界を定義します。
このガイドでは、Amazon Simple Storage Service (Amazon S3) オブジェクトで使用される署名付き URLs を使用するための背景情報とベストプラクティスについて説明します。署名付き URLsを使用すると、有効な認証情報にアクセスできるユーザーまたはアプリケーションは、事前に署名され、定義された有効期限まで受け入れられるリクエストを生成できます。署名付き URLs の一般的なユースケースは、これらのリクエストを共有してオブジェクトまたはリソースへのアクセスを拡張することです。共有署名付きリクエストは、特定のリクエストを実行する権限を持つシステムまたはユーザーによって生成され、他のシステムまたはユーザーに送信して、同じリクエストを実行する機能を拡張できます。
このガイドでは、以下について説明します。
-
署名付き URLsの概念
-
署名付き URLsのユースケース
-
推奨ガードレールとオプションのガードレール
-
モニタリングオプション
-
署名付き URLs AWS のサービス の使用方法の例
対象者
本ガイドの対象読者は、 AWS クラウドにセキュリティコントロールを実装する作業を担当している、アーキテクトやセキュリティエンジニアです。
目的
セキュリティエンジニアとして、ソリューションビルダーがセキュリティを実装する方法と、エンドユーザーが持つアクセスのタイプを把握する必要があります。このガイドでは、Amazon S3 でよく使用される署名付き URLs という 1 種類のアクセスについて説明します。 Amazon S3 署名付き URLs は、認証メカニズムを効率的にブリッジするためのオプションをビルダーに提供します。
Amazon S3 では、署名URLs はリクエストの一意のカテゴリを表します。セキュリティエンジニアは、これらのリクエストをモニタリングおよび管理して、適切かつ必要な場合にのみ使用されるようにできます。このガイドの目的は、セキュリティエンジニアがこのタイプの高レベルの監視を提供するのを支援することです。
このガイドを読んだら、署名付き URL とは何か、一般的に使用されるタイミング、および使用の動機を理解する必要があります。
前提条件
「AWS でセキュリティコントロールを実装する」ガイドで説明されているように、会社がセキュリティポリシー、コントロール目標、または標準を定義していない場合は、このガイドに進む前にこれらのガバナンスタスクを完了することをお勧めします。
開始する前に、コントロールとモニタリングの推奨ベストプラクティスとオプションのベストプラクティスについても理解しておく必要があります。詳細については、以下を参照してください。
-
サービスコントロールポリシー (AWS Organizations ドキュメント)
-
リソースコントロールポリシー (AWS Organizations ドキュメント)
-
Amazon S3 のバケットポリシー (Amazon S3 ドキュメント)
-
サーバーアクセスログ記録を使用したリクエストのログ記録 (Amazon S3 ドキュメント)
-
を使用した Amazon S3 API コールのログ記録 AWS CloudTrail (Amazon S3 ドキュメント)
