S3 のバケットを誤って公開してしまった時、どのように検知するかをまとめた。
案は2つ
- Lambda を呼び出して、 S3 バケットを保護する CloudWatch Events ルールを設定
- S3 のオブジェクトレベルのログを有効にして、 CloudTrail でパブリック読み取りアクセス許可を持つ
PutObject APIが検出されたとき、 SNS に通知するような CloudWatch イベントを作る。
この2つの方法は取ることができるが、単純に案1 の s3 から Lambda をトリガーしてチェックを行うのは実装は簡単そう。
しかし、やろうと思えば案2 の仕組みをつくることもできる。