【お知らせ】2023年4月からS3 バケットのデフォルトのセキュリティ設定が変更されます

みなさん、こんにちは。サニービュー事業部の小寺です。今日はS3をお使いの方向けのお知らせです！

2023年4月よりS3バケットのデフォルトセキュリティ設定が変更になります。

https://aws.amazon.com/jp/blogs/aws/heads-up-amazon-s3-security-changes-are-coming-in-april-of-2023/

何が変わるのか？

2023年4 月以降に作成された新しいS3バケットでは、S3ブロックパブリックアクセスが有効になり、S3 アクセスコントロールリスト (ACL) が無効になります。2つのオプションは両方とも、すでにコンソールのデフォルトであり、ベストプラクティスとして長い間推奨されてきました。

現状でバケットを新規作成しようとしたときの状態です。あくまで「推奨」として表示されています。

2023年4月以降に作成されるS3バケットでは「推奨」ではなく強制的に変更がされるとのことです。

https://aws.amazon.com/jp/blogs/aws/heads-up-amazon-s3-security-changes-are-coming-in-april-of-2023/より引用

もし、ACLとパブリックアクセスを有効化させたいときは？

パブリックバケットアクセスまたは ACL を使用したい場合は、S3 バケットを作成した後で、パブリックバケットアクセスを無効にするか、ACL を有効にすることができます。

ちなみに、パブリックアクセスを許可するバケットポリシーまたはアクセスポイントポリシーを設定しようとすると、403 Access Denied エラーになります。新しいバケットにパブリックアクセスが必要な場合は、通常どおり作成してから、DeletePublicAccessBlock を呼び出してパブリックアクセスブロックを削除しましょう。※この関数を呼び出すには、s3:PutBucketPublicAccessBlock 権限が必要です。

次に、ACLを有効化させたいときにどうするか？についてです。バケット ACL とオブジェクト ACL が無効になってしまうので、誰がオブジェクトをアップロードしてもバケット所有者がオブジェクト所有者になります。バケットの ACL を有効にしたい場合、CreateBucket リクエストで ObjectOwnership パラメータを ObjectWriter に設定する、もしくは、バケットの作成後にDeleteBucketOwnershipControls を呼び出すことができます。パラメータを使用したり関数を呼び出したりするには、s3:PutBucketOwnershipControls 権限が必要です。