Amazon Simple Storage Service (Amazon S3) コンソールを使用して、公共アクセスを許可するようにバケットのアクセスコントロールリスト (ACL) を更新しました。誰でもバケットにアクセスできますか?
解決方法
Amazon S3コンソールで利用可能なすべてのACLオプションを有効にしても、ACLだけでは、すべてのユーザーがバケットからオブジェクトをダウンロードすることはできません。ただし、選択したオプションによってはどのユーザーでも次の操作を実行することができます:
- Everyone グループに対して List objects を選択すると、バケット内にあるオブジェクトのリストを誰でも取得することができます。
- [オブジェクトの書き込み] を選択した場合は、バケット内のオブジェクトを誰でもアップロード、上書き、または削除することができます。
- [バケットの読み込み権限] を選択した場合は、バケットの ACL を誰でも見ることができます。
- [Write bucket permissions] (バケットの書き込み権限) を選択した場合は、バケットの ACL を誰でも変更することができます。
詳細については、付与できるアクセス権限をご参照ください。
バケットの ACL でパブリックアクセスの誤変更を防ぐために、バケットのパブリックアクセス設定を構成することができます。[Block new public ACLs and uploading public objects] (新しいパブリック ACL をブロックしてパブリックオブジェクトをアップロードする) を選択した場合は、ユーザーは新しいパブリック ACL を追加したり、パブリックオブジェクトをバケットにアップロードすることはできません。[Remove public access granted through public ACLs] パブリック ACL を介して付与されたパブリックアクセス権を削除する) を選択した場合は、ACL によって付与された既存または新規のすべてのパブリックアクセス権はそれぞれ上書きまたは拒否されます。
**重要:**バケットおよびオブジェクト ACL によるクロスアカウントアクセスの付与は、S3 オブジェクトの所有権が [Bucket Owner Enforced] に設定されているバケットでは機能しません。ほとんどの場合、オブジェクトやバケットにアクセス権限を付与するために ACL は不要です。代わりに、AWS Identity アクセスと管理 (IAM) ポリシーと S3 バケットポリシーを使用して、オブジェクトとバケットにアクセス許可を付与します。
関連情報
Amazon S3 ブロックパブリックアクセスを使用する
ACL でアクセスを管理する