どのユーザーが Amazon Simple Storage Service (Amazon S3) バケットへのパブリックアクセスを有効にしたかを確認するにはどうすればいいですか?
解決方法
AWS CloudTrail イベント履歴を確認することで、どのユーザーがバケットアクセスコントロールリスト (ACL) またはバケットポリシーを更新してパブリックアクセスを許可したかを確認します。
注: CloudTrail イベント履歴には、最大 90 日間のログが表示されます。90 日後にイベントが発生した場合は、バケットに配信された CloudTrail ログをクエリして分析する必要があります。
CloudTrail コンソール
CloudTrail コンソールを使用してユーザーを見つけるには、次の手順に従ってください。
- CloudTrail コンソールを開きます。
- ナビゲーションバーのリージョンセレクターから、バケットが入っている AWS リージョンを選択します。
- ナビゲーションペインから [イベント履歴] を選択します。
- [ルックアップ属性] で、バケットへのパブリックアクセスを許可したイベントを見つけるために使用するフィルターを選択します。
バケットの名前でイベントをフィルタリングするには、[リソース名] を選択してからバケットの名前を入力します。
バケット ACL への変更でイベントをフィルタリングするには、[イベント名] を選択してから「PutBucketAcl」と入力します。
バケットポリシーへの変更でイベントをフィルタリングするには、[イベント名] を選択してから「PutBucketPolicy」と入力します。
- バケットへのパブリックアクセスを許可したイベントを見つけたら、イベントの [ユーザー名] 列を確認します。次に、イベント項目を展開して [イベントの表示] を選択して、ユーザーの Amazon リソースネーム (ARN) などの詳細を表示します。
AWS コマンドラインインターフェイス (AWS CLI)
このコマンドを実行して、バケットに関連付けられている CloudTrail イベントを (バケット名を使用して) 一覧表示します。
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceName,AttributeValue=example-bucket-name --region example-region
次のコマンドを実行して、バケット ACL への変更イベントを一覧表示します。
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=PutBucketAcl --region example-region
次のコマンドを実行して、バケットポリシーへの変更イベントを一覧表示します。
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=PutBucketPolicy --region example-region
関連情報
CloudTrail イベント履歴でのイベントの表示
CloudTrail レコードの内容
検索イベント