no-image

S3 のバケットを誤って公開した場合の検知方法

S3 のバケットを誤って公開してしまった時、どのように検知するかをまとめた。

案は2つ

  1. Lambda を呼び出して、 S3 バケットを保護する CloudWatch Events ルールを設定
  2. S3 のオブジェクトレベルのログを有効にして、 CloudTrail でパブリック読み取りアクセス許可を持つ PutObject API が検出されたとき、 SNS に通知するような CloudWatch イベントを作る。

この2つの方法は取ることができるが、単純に案1 の s3 から Lambda をトリガーしてチェックを行うのは実装は簡単そう。

しかし、やろうと思えば案2 の仕組みをつくることもできる。