Lightsail バケットに対するパブリックアクセスをブロックする - Amazon Lightsail
アカウントのブロックパブリックアクセス設定の構成バケットとオブジェクトを管理する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Lightsail バケットに対するパブリックアクセスをブロックする

Amazon Simple Storage Service (Amazon S3) は、お客様がデータを保存して保護することができるオブジェクトストレージサービスです。Amazon Lightsail オブジェクトストレージサービスは Amazon S3 テクノロジーに基づいて構築されています。Amazon S3 はアカウントレベルのブロックパブリックアクセスを提供しており、これを使用してAWS アカウント 内のすべての S3 バケットへのパブリックアクセスを制限できます。アカウントレベルのパブリックアクセスのブロックでは、既存の個別のバケットおよびオブジェクトの許可にかかわらず、AWS アカウント のすべての S3 バケットをプライベートにすることができます。

パブリックアクセスを許可または拒否する場合、Lightsail オブジェクトストレージバケットは次のことを考慮します。

  • Lightsail バケットアクセス許可。詳細については、「バケットのアクセス許可」を参照してください。

  • Amazon S3 アカウントレベルのパブリックアクセスのブロック設定。Lightsail バケットアクセス許可を上書きします。

Amazon S3 でアカウントレベルの [すべてのパブリックアクセスをブロックする] をオンにすると、パブリック Lightsail バケットとオブジェクトがプライベートになり、公開アクセスが無効になります。

アカウントのブロックパブリックアクセス設定の構成

パブリックアクセスのブロックを設定するには、Amazon S3 コンソール、AWS Command Line Interface、(AWS CLI)、AWS SDK、および REST API を使用することができます。次の例に示すように、Amazon S3 コンソールのナビゲーションペインでアカウントレベルのパブリックアクセスのブロック機能にアクセスできます。

Amazon S3 コンソールのパブリックアクセスのブロックのナビゲーションペインのオプション

Amazon S3 コンソールには、すべてのパブリックアクセスのブロック、新しいまたは任意のアクセスコントロールリストを通じて付与されたパブリックアクセスのブロック、新しいまたは任意のパブリックバケットまたはアクセスポイントポリシーを通じて付与されたバケットおよびオブジェクトへのパブリックアクセスのブロックの設定があります。

Amazon S3 コンソールのパブリックアクセスのブロックのオプション

Amazon S3 コンソールで各設定を [オン] または [オフ] にできます。API では、対応する設定は TRUE (オン) または FALSE (オフ) です。次のセクションでは、S3 バケットと Lightsail バケットに対する各設定の影響について説明します。

注記

次のセクションでは、アクセスコントロールリスト (ACL) について説明します。ACL は、バケットまたは個々のオブジェクトを所有している、またはそれらにアクセスできるユーザーを定義します。詳細については、「Amazon S3 ユーザーガイド」の「アクセスコントロールリストの概要」を参照してください。

  • [すべてのパブリックアクセスをブロックする] - この設定をオンにすると、S3 バケット、Lightsail バケット、およびそれらに対応するオブジェクトへのすべてのパブリックアクセスがブロックされます。この設定には、次の設定がすべて組み込まれています。この設定をオンにすると、あなた (バケット所有者) と許可されたユーザーのみが、バケットとそのオブジェクトにアクセスできます。この設定は、Amazon S3 コンソールでのみオンにできます。AWS CLI、Amazon S3 API、または AWS SDK では使用できません。

    • 新しいアクセスコントロールリスト (ACL) を通じて付与されたバケットおよびオブジェクトへのパブリックアクセスをブロック — この設定をオンにすると、バケットおよびオブジェクトに対するパブリック ACL の配置がブロックされます。この設定は、既存の ACL には影響しません。したがって、既にパブリック ACL を持つオブジェクトはパブリックのままとなります。この設定は、バケットアクセス許可が [All objects are public and read-only] (すべてのオブジェクトがパブリックかつ読み取り専用) に設定されているため、パブリックであるオブジェクトに影響を与えることもありません。この設定は、Amazon S3 API で BlockPublicAcls としてラベル付けされています。

      注記

      Offload Media Light プラグインなど、メディアを Lightsail バケットに配置する WordPress プラグインは、この設定をオンにすると動作を停止する場合があります。これは、ほとんどの WordPress プラグインがオブジェクトでパブリック読み取り ACL を設定するためです。オブジェクト ACL を切り替える WordPress プラグインも動作を停止する可能性があります。

    • すべてのアクセスコントロールリスト (ACL) を通じて付与されたバケットおよびオブジェクトへのパブリックアクセスをブロック — この設定をオンにすると、パブリック ACL が無視され、バケットおよびオブジェクトへのパブリックアクセスがブロックされます。この設定では、パブリック ACL をバケットとオブジェクトに配置できますが、アクセス権を付与するときは無視されます。Lightsail バケットの場合、バケットのアクセス許可を [All objects are public and read-only] (すべてのオブジェクトがパブリックかつ読み取り専用) に設定するか、または個別のオブジェクトの許可を [Public (read-only)] (パブリック (読み取り専用)) に設定することは、パブリック ACL をいずれかに配置することと同等です。この設定は、Amazon S3 API で IgnorePublicAcls としてラベル付けされています。

    • 新しいパブリックバケットまたはアクセスポイントポリシーを通じて付与されたバケットおよびオブジェクトへのパブリックアクセスをブロック — この設定をオンにすると、[すべてのオブジェクトがパブリックかつ読み取り専用] のバケットアクセス許可が、Lightsail バケットで設定されないようにブロックします。この設定は、[All objects are public and read-only] (すべてのオブジェクトがパブリックかつ読み取り専用) のバケットアクセス許可で既に設定されているバケットには影響しません。この設定は、Amazon S3 API で BlockPublicPolicy としてラベル付けされています。

    • 任意のパブリックバケットまたはアクセスポイントポリシーを通じたバケットおよびオブジェクトへのパブリックおよびクロスアカウントアクセスをブロック — この設定をオンにすると、すべての Lightsail バケットがプライベートになります。これにより、[All objects are public and read-only] (すべてのオブジェクトがパブリックかつ読み取り専用) のバケットアクセス許可で設定されている場合でも、すべての Lightsail バケットがプライベートになります。この設定は、Amazon S3 API で RestrictPublicBuckets としてラベル付けされています。

      重要

      この設定は、Lightsail バケットで設定されているクロスアカウントアクセス (Lightsail で [All objects are public and read-only] (すべてのオブジェクトがパブリックかつ読み取り専用) のバケットアクセス許可でも設定されているもの) もブロックします。クロスアカウントアクセスを引き続き許可するには、Amazon S3 で [任意のパブリックバケットまたはアクセスポイントポリシーを通じたバケットおよびオブジェクトへのパブリックおよびクロスアカウントアクセスをブロック] をオンにする前に、Lightsail で [すべてのオブジェクトをプライベートにする] のバケットアクセス許可で Lightsail バケットを設定してください。

ブロックパブリックアクセスとその設定方法の詳細については、「Amazon S3 ユーザーガイド」で以下のリソースを参照してください。

Lightsail コンソール、AWS CLI、AWS SDK、および REST API を使用して、Lightsail バケットのアクセス許可を設定します。詳細については、「バケットのアクセス許可」を参照してください。 

注記

Lightsail は、Amazon S3 から現在のアカウントレベルのブロックパブリックアクセス設定を取得し、それを Lightsail オブジェクトストレージリソースに適用するためにサービスリンクロールを使用します。Amazon S3 でパブリックアクセスのブロックを設定した後、Lightsail で有効になるまで少なくとも 1 時間待機します。詳細については、「サービスにリンクされたロール」を参照してください。

バケットとオブジェクトを管理する

これらは、Lightsail オブジェクトストレージバケットを管理する一般的な手順です。

  1. Amazon Lightsail オブジェクトストレージサービスでのオブジェクトとバケットについて説明します。詳細については、「Amazon Lightsail のオブジェクトストレージ」を参照してください。

  2. Amazon Lightsail でバケットに付けることができる名前について説明します。詳細については、「Amazon Lightsail でのバケットの命名規則」をご参照ください。

  3. バケットを作成して、Lightsail オブジェクトストレージサービスの使用を開始します。詳細については、「Amazon Lightsail におけるバケットの作成 」を参照してください。

  4. バケットのセキュリティのベストプラクティスと、バケットに設定できるアクセス許可について説明します。バケット内のすべてのオブジェクトをパブリックまたはプライベートにすることも、オブジェクトを個別に選択してパブリックにすることもできます。また、アクセスキーを作成し、インスタンスをバケットに追加し、他の AWS アカウントにアクセス権を付与することで、バケットへのアクセスを許可することもできます。詳細については、「Amazon Lightsail オブジェクトストレージのセキュリティベストプラクティス」と「Amazon Lightsail でのバケットのアクセス許可を理解する」を参照してください。

    バケットのアクセス許可について理解したら、以下のガイドを参照してバケットへのアクセスを許可してください。

  5. バケットのアクセスログの記録を有効にする方法と、アクセスログを使用してバケットのセキュリティを監査する方法について説明します。詳細については、以下のガイドを参照してください。

  6. Lightsail でバケットを管理する機能をユーザーに付与する IAM ポリシーを作成します。詳細については、「Amazon Lightsail でバケットを管理する IAM ポリシー」を参照してください。

  7. バケット内のオブジェクトにラベルを付けて識別する方法について説明します。詳細については、「Amazon Lightsail でのオブジェクトキー名を理解する」を参照してください。

  8. ファイルをアップロードしてバケット内のオブジェクトを管理する方法について説明します。詳細については、以下のガイドを参照してください。

  9. オブジェクトのバージョニングを有効にすると、バケットに保存されたあらゆるオブジェクトのあらゆるバージョンを保存、取得、復元します。詳細については、「Amazon Lightsail のバケットでのオブジェクトのバージョニングの有効化と一時停止」を参照してください。

  10. オブジェクトのバージョニングを有効にすると、バケット内のオブジェクトの以前のバージョンを復元できます。詳細については、「Amazon Lightsail のバケット内のオブジェクトの以前のバージョンの復元」を参照してください。

  11. バケットの使用率を監視します。詳細については、「Amazon Lightsail でのバケットのメトリクスの表示」を参照してください。

  12. バケットの使用率がしきい値を超えたときにバケットメトリクスが通知されるよう、アラームを設定します。詳細については、「Amazon Lightsail でのバケットメトリクスアラームの作成」を参照してください。

  13. ストレージとネットワーク転送量が不足している場合は、バケットのストレージプランを変更します。詳細については、「Amazon Lightsail のバケットのプランの変更」を参照してください。

  14. バケットを他のリソースに接続する方法について説明します。詳細については、以下のチュートリアルを参照してください。

  15. 使用しなくなったバケットを削除します。詳細については、「Amazon Lightsail でのバケットの削除」を参照してください。