S3にはデフォルトの暗号化を設定できます。この設定をONにすれば自動的に暗号化され、アクセスする際は自動で復号されます。
S3の情報を見せたくない場合は、IAMで制限すれば暗号化せずとも可能であるし、S3のデフォルト暗号化では万一IAMの情報が漏洩した際は、漏洩先で複合化できてしまうため、暗号化するメリットを理解できませんでした。S3のデフォルト暗号化にどのようなメリットがあるのかをAWSサポートに確認してみました。
結論 デバイスの盗難や社内コンプライアンス対策が目的
S3のデフォルト暗号化は以下のケースを想定した機能とのことでした。
- AWSがS3に使用している記憶媒体が盗難されたとき中身を見られなくするため
- S3利用者側のコンプライアンス要件に保存しているデータは暗号化することといったものがある場合に対応するため
IAMが流出してしまったときや、S3バケットを誤ってグローバル共有してしまった場合も普通に中身を確認できてしまいます。
S3の暗号化設定とは?
設定自体はAWSマネジメントコンソールのプロパティから手軽に行えます。デフォルト設定で作成すると暗号化はOFFになっており、ONにする場合は設定を変更しましょう。
なお、バケット作成後にも暗号化設定の変更ができるようです。
S3のデフォルト暗号化で防止できる事故をAWSに問い合わせてみた
これだけ手軽に設定出来て複合も自動ということはIAMが流出した際は流出先で勝手に複合化されてしまうということなのではないか?
この設定を行うことに何の意味があるのでしょうか
以下、AWSからの回答を要約したものです。
- デフォルト暗号化を行うとS3 のデータの入った蓄積装置へ直接アクセスまたは蓄積装置の盗難にあっても、暗号化されている為データを復号できずデータを参照されることが無い
- 社内のコンプライアンス用件でデータは暗号化することが必須の場合に対応するため。(特に金融機関のシステム要件ではFISCでは必須とのこと)
- 誤ってオブジェクトをグローバル公開した際にファイルの中身が参照できないようにするといった対策では使用できない。(オブジェクト取得の際に自動で復号されてしまう。)
万が一に備えるものなので実用的なメリットは少ないようです。
PR
当ブログはWordPressテーマSWELLを使用しています。非常に使いやすく、簡単にプロのようなデザインを使えるのでお勧めです!!
SWELL – シンプル美と機能性両立を両立させた、圧巻のWordPressテーマ
システムエンジニア
AWSを中心としたクラウド案件に携わっています。
IoTシステムのバックエンド開発、Datadogを用いた監視開発など経験があります。
IT資格マニアでいろいろ取得しています。
AWS認定:SAP, DOP, SAA, DVA, SOA, CLF
Azure認定:AZ-104, AZ-300
ITIL Foundation
Oracle Master Bronze (DBA)
Oracle Master Silver (SQL)
Oracle Java Silver SE
■略歴
理系の大学院を卒業
IT企業に就職
AWSのシステム導入のプロジェクトを担当