各 Object Storage Service (OSS) バケットの Bucket ACL パラメーターが Private に設定されているか、または各 OSS バケットのバケットポリシーが指定された IP アドレスからのアクセスのみを許可しているかどうかを確認します。設定されている場合、評価結果は準拠となります。
シナリオ
このルールは、最小権限の原則 (PoLP) に基づいて OSS バケットのバケットポリシーを構成する必要がある場合に適用されます。 過剰な権限によって引き起こされる可能性のあるセキュリティリスクを軽減するのに役立ちます。
リスクレベル
デフォルトのリスクレベル: 低。
このルールを適用する際には、ビジネス要件に基づいてリスクレベルを変更できます。
コンプライアンス評価ロジック
- 各 OSS バケットの Bucket ACL パラメーターが Private に設定されているか、各 OSS バケットのバケットポリシーが指定された IP アドレスからのアクセスのみを許可している場合、評価結果は「準拠」です。
- OSS バケットの Bucket ACL パラメーターがパブリック読み取り/書き込みに設定されている場合、評価結果は「非準拠」です。 各 OSS バケットのバケットポリシーがすべての IP アドレスからのアクセスを許可している場合、評価結果も「非準拠」です。 非準拠の構成を修正する方法の詳細については、「非準拠の修正」をご参照ください。
ルールの詳細
| 項目 | 説明 |
| ルール名 | oss-bucket-authorize-specified-ip |
| ルール ID | oss-bucket-authorize-specified-ip |
| タグ | OSS、バケット、および BucketPolicy |
| 自動修復 | サポートされていません |
| トリガータイプ | 構成の変更 |
| サポートされているリソースタイプ | OSS バケット |
| 入力パラメーター | なし。 |
非準拠の修正
指定された IP アドレスからのアクセスのみを OSS バケットに許可するバケットポリシーを構成します。 詳細については、「チュートリアル: バケットポリシーに基づいて部門間でデータを共有する」をご参照ください。