AWS securityhub documentation change
Summary
Translated the document from Japanese to English and updated the content of the S3 controls to the latest version, including detailed descriptions, parameters, and remediation steps for each control.
Security assessment
The changes involve translating and updating documentation for S3 security controls but provide no evidence of addressing a specific security vulnerability, incident, or weakness. The updates enhance clarity and accuracy of existing security features but do not indicate a response to a security incident or newly discovered vulnerability. The content describes security best practices and configurations without referencing any security event.
Diff
diff --git a/securityhub/latest/userguide/s3-controls.md b/securityhub/latest/userguide/s3-controls.md index 6458b4339..46fd08489 100644 --- a//securityhub/latest/userguide/s3-controls.md +++ b//securityhub/latest/userguide/s3-controls.md @@ -1 +1 @@ -[](securityhub.pdf#s3-controls "PDF を開く") +[](/pdfs/securityhub/latest/userguide/securityhub.pdf#s3-controls "Open PDF") @@ -3 +3 @@ -[ドキュメント](/index.html)[AWS Security Hub](/securityhub/index.html)[ ユーザーガイド ](what-are-securityhub-services.html) +[Documentation](/index.html)[AWS Security Hub](/securityhub/index.html)[ User Guide ](what-are-securityhub-services.html) @@ -5 +5 @@ -[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。[S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります[S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。[S3.6] S3 汎用バケットポリシーでは、他の へのアクセスを制限する必要がありますAWS アカウント[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります[S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります[S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります[S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。[S3.13] S3 汎用バケットにはライフサイクル設定が必要です[S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります[S3.15] S3 汎用バケットでは Object Lock が有効になっている必要があります[S3.17] S3 汎用バケットは保管時に で暗号化する必要がありますAWS KMS keys[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です +[S3.1] S3 general purpose buckets should have block public access settings enabled[S3.2] S3 general purpose buckets should block public read access[S3.3] S3 general purpose buckets should block public write access[S3.5] S3 general purpose buckets should require requests to use SSL[S3.6] S3 general purpose bucket policies should restrict access to other AWS accounts[S3.7] S3 general purpose buckets should use cross-Region replication[S3.8] S3 general purpose buckets should block public access[S3.9] S3 general purpose buckets should have server access logging enabled[S3.10] S3 general purpose buckets with versioning enabled should have Lifecycle configurations[S3.11] S3 general purpose buckets should have event notifications enabled[S3.12] ACLs should not be used to manage user access to S3 general purpose buckets[S3.13] S3 general purpose buckets should have Lifecycle configurations[S3.14] S3 general purpose buckets should have versioning enabled[S3.15] S3 general purpose buckets should have Object Lock enabled[S3.17] S3 general purpose buckets should be encrypted at rest with AWS KMS keys[S3.19] S3 access points should have block public access settings enabled[S3.20] S3 general purpose buckets should have MFA delete enabled[S3.22] S3 general purpose buckets should log object-level write events[S3.23] S3 general purpose buckets should log object-level read events[S3.24] S3 Multi-Region Access Points should have block public access settings enabled[S3.25] S3 directory buckets should have lifecycle configurations @@ -7 +7 @@ -翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 +# Security Hub CSPM controls for Amazon S3 @@ -9 +9 @@ -# Amazon S3 の Security Hub CSPM コントロール +These AWS Security Hub CSPM controls evaluate the Amazon Simple Storage Service (Amazon S3) service and resources. The controls might not be available in all AWS Regions. For more information, see [Availability of controls by Region](./securityhub-regions.html#securityhub-regions-control-support). @@ -11 +11 @@ -これらのAWS Security Hub CSPMコントロールは、Amazon Simple Storage Service (Amazon S3) サービスとリソースを評価します。コントロールは一部の で使用できない場合がありますAWS リージョン。詳細については、「[リージョン別のコントロールの可用性](./securityhub-regions.html#securityhub-regions-control-support)」を参照してください。 +## [S3.1] S3 general purpose buckets should have block public access settings enabled @@ -13 +13 @@ -## [S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。 +**Related requirements:** CIS AWS Foundations Benchmark v5.0.0/2.1.4, CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9), PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 @@ -15 +15 @@ -**関連する要件:** CIS AWSFoundations Benchmark v5.0.0/2.1.4、 CIS AWSFoundations Benchmark v3.0.0/2.1.4、 CIS AWSFoundations Benchmark v1.4.0/2.1.5、 NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7)、 NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21)、 NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)、 PCI DSS v3.2.1/1.2.1、 PCI DSS v3.2.1/1.3.1、 PCI DSS v3.2.1/1.3.2、 PCI DSS v3.2.1/1.3.4、 PCI DSS v3.2.1/1.3.6、 PCI DSS v4.0.1/1.4.4 +**Category:** Protect > Secure network configuration @@ -17 +17 @@ -**カテゴリ:** 保護 > セキュアなネットワーク設定 +**Severity:** Medium @@ -19 +19 @@ -**重要度:** 中 +**Resource type:** `AWS::::Account` @@ -21 +21 @@ -**リソースタイプ :** `AWS::::Account` +**AWS Config rule:** [s3-account-level-public-access-blocks-periodic](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html) @@ -23 +23 @@ -**AWS Config ルール :** [s3-account-level-public-access-blocks-periodic](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html) +**Schedule type:** Periodic @@ -25 +25 @@ -**スケジュールタイプ :** 定期的 +**Parameters:** @@ -27 +27 @@ -**パラメータ :** + * `ignorePublicAcls`: `true` (not customizable) @@ -29 +29 @@ - * `ignorePublicAcls`: `true` (カスタマイズ不可) + * `blockPublicPolicy`: `true` (not customizable) @@ -31 +31 @@ - * `blockPublicPolicy`: `true` (カスタマイズ不可) + * `blockPublicAcls`: `true` (not customizable) @@ -33 +33 @@ - * `blockPublicAcls`: `true` (カスタマイズ不可) + * `restrictPublicBuckets`: `true` (not customizable) @@ -35 +34,0 @@ - * `restrictPublicBuckets`: `true` (カスタマイズ不可) @@ -38,0 +38 @@ +This control checks whether the preceding Amazon S3 block public access settings are configured at the account level for an S3 general purpose bucket. The control fails if one or more of the block public access settings are set to `false`. @@ -40 +40 @@ -このコントロールは、前の Amazon S3 パブリックアクセス設定が S3 汎用バケットのアカウントレベルで設定されているかどうかをチェックします: 1 つ以上のブロックパブリックアクセス設定が `false` に設定されている場合、このコントロールは失敗します。 +The control fails if any of the settings are set to `false`, or if any of the settings are not configured. @@ -42 +42 @@ -いずれかの設定が `false` に設定されているか、またはいずれかが設定されていない場合、コントロールは失敗します。 +Amazon S3 public access block is designed to provide controls across an entire AWS account or at the individual S3 bucket level to ensure that objects never have public access. Public access is granted to buckets and objects through access control lists (ACLs), bucket policies, or both. @@ -44 +44 @@ -Amazon S3 パブリックアクセスブロックは、オブジェクトがパブリックアクセスを持たないように、 全体AWS アカウントまたは個々の S3 バケットレベルでコントロールを提供するように設計されています。パブリックアクセスは、アクセスコントロールリスト (ACL)、バケットポリシー、またはその両方からバケットおよびオブジェクトに付与されます。 +Unless you intend to have your S3 buckets be publicly accessible, you should configure the account level Amazon S3 Block Public Access feature. @@ -46 +46 @@ Amazon S3 パブリックアクセスブロックは、オブジェクトがパ -S3 バケットをパブリックにアクセスできるように意図する場合を除き、アカウントレベルの Amazon S3 ブロックパブリックアクセス機能を設定する必要があります。 +To learn more, see [Using Amazon S3 Block Public Access](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) in the _Amazon Simple Storage Service User Guide_. @@ -48 +48 @@ S3 バケットをパブリックにアクセスできるように意図する -詳細については、「Amazon Simple Storage Service ユーザーガイド」の「[Amazon S3 ブロックパブリックアクセスの使用](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html)」を参照してください。 +### Remediation @@ -50 +50 @@ S3 バケットをパブリックにアクセスできるように意図する -### 修正 +To enable Amazon S3 Block Public Access for your AWS account, see [Configuring block public access settings for your account](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html) in the _Amazon Simple Storage Service User Guide_. @@ -52 +52 @@ S3 バケットをパブリックにアクセスできるように意図する -の Amazon S3 パブリックアクセスブロックを有効にするにはAWS アカウント、 _「Amazon Simple Storage Service ユーザーガイド_ 」の[「アカウントのパブリックアクセスブロックの設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html)」を参照してください。 +## [S3.2] S3 general purpose buckets should block public read access @@ -54 +54 @@ S3 バケットをパブリックにアクセスできるように意図する -## [S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります +**Related requirements:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9) @@ -56 +56 @@ S3 バケットをパブリックにアクセスできるように意図する -**関連する要件:** PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9) +**Category:** Protect > Secure network configuration @@ -58 +58 @@ S3 バケットをパブリックにアクセスできるように意図する -**カテゴリ:** 保護 > セキュアなネットワーク設定 +**Severity:** Critical @@ -60 +60 @@ S3 バケットをパブリックにアクセスできるように意図する -**重要度:** 非常事態 +**Resource type:** `AWS::S3::Bucket` @@ -62 +62 @@ S3 バケットをパブリックにアクセスできるように意図する -**リソースタイプ :** `AWS::S3::Bucket` +**AWS Config rule:** [s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited) @@ -64 +64 @@ S3 バケットをパブリックにアクセスできるように意図する -**AWS Config ルール :** [s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited) +**Schedule type:** Periodic and change triggered @@ -66 +66 @@ S3 バケットをパブリックにアクセスできるように意図する -**スケジュールタイプ:** 定期的および変更がトリガーされた場合 +**Parameters:** None @@ -68 +68 @@ S3 バケットをパブリックにアクセスできるように意図する -**パラメータ :** なし +This control checks whether an Amazon S3 general purpose bucket permits public read access. It evaluates the block public access settings, the bucket policy, and the bucket access control list (ACL). The control fails if the bucket permits public read access. @@ -70 +70 @@ S3 バケットをパブリックにアクセスできるように意図する -このコントロールは、Amazon S3 汎用バケットがパブリック読み取りアクセスを許可するかどうかをチェックします。これにより、ブロックパブリックアクセス設定、バケットポリシー、およびバケットアクセスコントロールリスト (ACL) を評価します。バケットが公開読み取りアクセスを許可している場合、このコントロールは失敗します。 +###### Note @@ -72 +72 @@ S3 バケットをパブリックにアクセスできるように意図する -###### 注記 +If an S3 bucket has a bucket policy, this control doesn't evaluate policy conditions that use wildcard characters or variables. To produce a `PASSED` finding, conditions in the bucket policy must only use fixed values, which are values that don't contain wildcard characters or policy variables. For information about policy variables, see [Variables and tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) in the _AWS Identity and Access Management User Guide_. @@ -74 +74 @@ S3 バケットをパブリックにアクセスできるように意図する -S3 バケットにバケットポリシーがある場合、このコントロールはワイルドカード文字または変数を使用するポリシー条件を評価しません。`PASSED` 検出結果を生成するには、バケットポリシーの条件は固定値のみを使用する必要があります。固定値は、ワイルドカード文字やポリシー変数を含まない値です。ポリシー変数に関する詳細については、「 _AWS Identity and Access Management ユーザーガイド_ 」の「[変数およびタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)」を参照してください。 +Some use cases may require that everyone on the internet be able to read from your S3 bucket. However, those situations are rare. To ensure the integrity and security of your data, your S3 bucket should not be publicly readable. @@ -76 +76 @@ S3 バケットにバケットポリシーがある場合、このコントロ -ユースケースによっては、インターネット上のすべてのユーザーが S3 バケットからの読み取りが必要な場合があります。しかし、そのような状況は稀です。データの整合性とセキュリティを確保するために、S3 バケットをパブリックに読み取り可能にしないでください。 +### Remediation @@ -78 +78 @@ S3 バケットにバケットポリシーがある場合、このコントロ -### 修正 +To block public read access on your Amazon S3 buckets, see [Configuring block public access settings for your S3 buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) in the _Amazon Simple Storage Service User Guide_. @@ -80 +80 @@ S3 バケットにバケットポリシーがある場合、このコントロ -Amazon S3 バケットで公開読み取りアクセスをブロックするには、「 _Amazon Simple Storage Service ユーザーガイド_ 」の「[S3 バケットへのパブリックアクセスブロック設定の構成](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)」を参照してください。 +## [S3.3] S3 general purpose buckets should block public write access @@ -82 +82 @@ Amazon S3 バケットで公開読み取りアクセスをブロックするに -## [S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。 +**Related requirements:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9) @@ -84 +84 @@ Amazon S3 バケットで公開読み取りアクセスをブロックするに -**関連する要件:** PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9) +**Category:** Protect > Secure network configuration @@ -86 +86 @@ Amazon S3 バケットで公開読み取りアクセスをブロックするに -**カテゴリ:** 保護 > セキュアなネットワーク設定 +**Severity:** Critical @@ -88 +88 @@ Amazon S3 バケットで公開読み取りアクセスをブロックするに -**重要度:** 非常事態 +**Resource type:** `AWS::S3::Bucket` @@ -90 +90 @@ Amazon S3 バケットで公開読み取りアクセスをブロックするに -**リソースタイプ :** `AWS::S3::Bucket` +**AWS Config rule:** [s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) @@ -92 +92 @@ Amazon S3 バケットで公開読み取りアクセスをブロックするに -**AWS Config ルール :** [s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) +**Schedule type:** Periodic and change triggered @@ -94 +94 @@ Amazon S3 バケットで公開読み取りアクセスをブロックするに -**スケジュールタイプ:** 定期的および変更がトリガーされた場合 +**Parameters:** None @@ -96 +96 @@ Amazon S3 バケットで公開読み取りアクセスをブロックするに -**パラメータ :** なし +This control checks whether an Amazon S3 general purpose bucket permits public write access. It evaluates the block public access settings, the bucket policy, and the bucket access control list (ACL). The control fails if the bucket permits public write access. @@ -98 +98 @@ Amazon S3 バケットで公開読み取りアクセスをブロックするに -このコントロールは、Amazon S3 汎用バケットがパブリック書き込みアクセスを許可するかどうかをチェックします。これにより、ブロックパブリックアクセス設定、バケットポリシー、およびバケットアクセスコントロールリスト (ACL) を評価します。バケットが公開書き込みアクセスを許可している場合、このコントロールは失敗します。 +###### Note @@ -100 +100 @@ Amazon S3 バケットで公開読み取りアクセスをブロックするに -###### 注記 +If an S3 bucket has a bucket policy, this control doesn't evaluate policy conditions that use wildcard characters or variables. To produce a `PASSED` finding, conditions in the bucket policy must only use fixed values, which are values that don't contain wildcard characters or policy variables. For information about policy variables, see [Variables and tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) in the _AWS Identity and Access Management User Guide_. @@ -102 +102 @@ Amazon S3 バケットで公開読み取りアクセスをブロックするに -S3 バケットにバケットポリシーがある場合、このコントロールはワイルドカード文字または変数を使用するポリシー条件を評価しません。`PASSED` 検出結果を生成するには、バケットポリシーの条件は固定値のみを使用する必要があります。固定値は、ワイルドカード文字やポリシー変数を含まない値です。ポリシー変数に関する詳細については、「 _AWS Identity and Access Management ユーザーガイド_ 」の「[変数およびタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)」を参照してください。 +Some use cases require that everyone on the internet be able to write to your S3 bucket. However, those situations are rare. To ensure the integrity and security of your data, your S3 bucket should not be publicly writable. @@ -104 +104 @@ S3 バケットにバケットポリシーがある場合、このコントロ -ユースケースによっては、インターネット上の全員が S3 バケットに書き込むことができる必要があります。しかし、そのような状況は稀です。データの整合性とセキュリティを確保するため、S3 バケットはパブリックに書き込み可能にしないでください。 +### Remediation @@ -106 +106 @@ S3 バケットにバケットポリシーがある場合、このコントロ -### 修正 +To block public write access on your Amazon S3 buckets, see [Configuring block public access settings for your S3 buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) in the _Amazon Simple Storage Service User Guide_. @@ -108 +108 @@ S3 バケットにバケットポリシーがある場合、このコントロ -Amazon S3 バケットで公開書き込みアクセスをブロックするには、「 _Amazon Simple Storage Service ユーザーガイド_ 」の「[S3 バケットへのパブリックアクセスブロック設定の構成](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)」を参照してください。 +## [S3.5] S3 general purpose buckets should require requests to use SSL @@ -110 +110 @@ Amazon S3 バケットで公開書き込みアクセスをブロックするに -## [S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。 +**Related requirements:** CIS AWS Foundations Benchmark v5.0.0/2.1.1, CIS AWS Foundations Benchmark v3.0.0/2.1.1, CIS AWS Foundations Benchmark v1.4.0/2.1.2, NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6), NIST.800-171.r2 3.13.8, NIST.800-171.r2 3.13.15, PCI DSS v3.2.1/4.1, PCI DSS v4.0.1/4.2.1 @@ -112 +112 @@ Amazon S3 バケットで公開書き込みアクセスをブロックするに -**関連する要件:** CIS AWSFoundations Benchmark v5.0.0/2.1.1、 CIS AWSFoundations Benchmark v3.0.0/2.1.1、 CIS AWSFoundations Benchmark v1.4.0/2.1.2、 NIST.800-53.r5 AC-17(2)、 NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5(1)、 NIST.800-53.r5 SC-12(3)、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23、 NIST.800-53.r5 SC-23(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(1)、 NIST.800-53.r5 SC-8(2)、 NIST.800-53.r5 SI-7(6)、 NIST.800-171.r2 3.13.8、 NIST.800-171.r2 3.13.15、 PCI DSS v3.2.1/4.1、 PCI DSS v4.0.1/4.2.1 +**Category:** Protect > Secure access management @@ -114 +114 @@ Amazon S3 バケットで公開書き込みアクセスをブロックするに -**カテゴリ:** 保護 > セキュアなアクセス管理 +**Severity:** Medium @@ -116 +116 @@ Amazon S3 バケットで公開書き込みアクセスをブロックするに -**重要度:** 中 +**Resource type:** `AWS::S3::Bucket` @@ -118 +118 @@ Amazon S3 バケットで公開書き込みアクセスをブロックするに -**リソースタイプ :** `AWS::S3::Bucket` +**AWS Config rule:** [s3-bucket-ssl-requests-only](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html) @@ -120 +120 @@ Amazon S3 バケットで公開書き込みアクセスをブロックするに -**AWS Config ルール :** [s3-bucket-ssl-requests-only](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html) +**Schedule type:** Change triggered @@ -122 +122 @@ Amazon S3 バケットで公開書き込みアクセスをブロックするに -**スケジュールタイプ:** 変更がトリガーされた場合 +**Parameters:** None @@ -124 +124 @@ Amazon S3 バケットで公開書き込みアクセスをブロックするに -**パラメータ :** なし +This control checks whether an Amazon S3 general purpose bucket has a policy that requires requests to use SSL. The control fails if the bucket policy doesn't require requests to use SSL. @@ -126 +126 @@ Amazon S3 バケットで公開書き込みアクセスをブロックするに -このコントロールは、Amazon S3 汎用バケットに SSL を使用するためのリクエストを要求するポリシーがあるかどうかをチェックします。バケットポリシーが SSL を使用するリクエストを必要としない場合、コントロールは失敗します。 +S3 buckets should have policies that require all requests (`Action: S3:*`) to only accept transmission of data over HTTPS in the S3 resource policy, indicated by the condition key `aws:SecureTransport`. @@ -128 +128 @@ Amazon S3 バケットで公開書き込みアクセスをブロックするに -S3 バケットには、条件キー `aws:SecureTransport` によって示される S3 リソースポリシーで HTTPS 経由のデータ送信のみを受け入れるために、すべてのリクエスト (`Action: S3:*`) を要求するポリシーを備える必要があります。 +### Remediation @@ -130 +130 @@ S3 バケットには、条件キー `aws:SecureTransport` によって示され -### 修正 +To update an Amazon S3 bucket policy to deny nonsecure transport, see [Adding a bucket policy by using the Amazon S3 console](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) in the _Amazon Simple Storage Service User Guide_. @@ -132,3 +132 @@ S3 バケットには、条件キー `aws:SecureTransport` によって示され -Amazon S3 バケットポリシーを更新して非セキュアなトランスポートを拒否するには、「 _Amazon Simple Storage Service ユーザーガイド_ 」の「[Amazon S3 コンソールを使用したバケットポリシーの追加](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)」を参照してください。 -