S3 Tables のセキュリティ

Amazon S3 には、さまざまなセキュリティ機能とツールが用意されています。以下は、S3 Tables でサポートされている機能とツールのリストです。これらのツールを適切に適用すると、リソースが保護され、目的のユーザーのみがリソースにアクセスできるようにするために役立ちます。

アイデンティティベースのポリシー

アイデンティティベースのポリシーは、IAM ユーザー、グループ、ロールにアタッチされます。アイデンティティベースのポリシーを使用すると、テーブルバケットまたはテーブルへのアクセス許可を IAM アイデンティティに付与できます。デフォルトでは、ユーザーとロールには、テーブルとテーブルバケットを作成および変更するアクセス許可はありません。また、S3 コンソール、AWS CLI、または Amazon S3 REST API を使用してタスクを実行することはできません。アカウント内に IAM ユーザー、グループ、およびロールを作成し、これらにアクセスポリシーをアタッチできます。その後、リソースへのアクセスを許可できます。テーブルバケットとテーブルを作成してアクセスするには、IAM 管理者が AWS Identity and Access Management (IAM) ロールまたはユーザーに必要なアクセス許可を付与する必要があります。詳細については、「Access management for S3 Tables」を参照してください。

リソースベースのポリシー

リソースベースのポリシーをリソースにアタッチします。テーブルバケットとテーブルのリソースベースのポリシーを作成できます。テーブルバケットポリシーを使用して、テーブルバケットと名前空間レベルの API アクセス許可を制御できます。テーブルバケットポリシーを使用して、バケット内の複数のテーブルに対するテーブルレベルの API アクセス許可を制御することもできます。ポリシー定義に応じて、バケットにアタッチされたアクセス許可は、バケット内のすべてのテーブルまたは特定のテーブルに適用できます。テーブルポリシーを使用して、バケット内の個々のテーブルにテーブルレベルの API アクセス許可を付与することもできます。

S3 Tables は、テーブルバケットオペレーションまたはテーブルオペレーションを実行するリクエストを受け取ると、まずリクエスタに必要なアクセス許可があることを確認します。リクエストを許可するかどうかを決定する際に、関連するすべてのアクセスポリシー、ユーザーポリシー、リソースベースのポリシー (IAM ユーザーポリシー、IAM ロールポリシー、テーブルバケットポリシー、テーブルポリシー) を評価します。テーブルバケットポリシーとテーブルポリシーを使用すると、リソースへのアクセスをパーソナライズして、承認された ID のみがリソースにアクセスしてアクションを実行できるようにすることができます。詳細については、「Access management for S3 Tables」を参照してください。

S3 Tables の AWS Organizations サービスコントロールポリシー (SCP)。

サービスコントロールポリシー (SCP) の Amazon S3 Tables を使用して、組織内のユーザーへのアクセス許可を管理できます。IAM およびリソースポリシーと同様に、すべてのテーブルおよびバケットレベルのアクションは、ポリシーの s3tables 名前空間の一部として参照されます。詳細については、「AWS Organizations ユーザーガイド」の「サービスコントロールポリシー (SCPs)」を参照してください。

Encryption

暗号化とは、転送中 (Amazon S3 に対して送受信中) および保管中のデータを保護することです。

[保管時の暗号化] – Amazon S3 のテーブルバケットでは、デフォルトでバケット暗号化が有効になっています。この暗号化はテーブルバケット内のすべてのテーブルに適用され、費用はかかりません。

[転送中の暗号化] – S3 テーブルは常に HTTPS 経由で Transport Layer Security (1.2 以降) を使用して転送中のデータを保護します。