各 Object Storage Service (OSS) バケットのバケットポリシーで匿名アカウントに読み取り権限と書き込み権限が付与されているかどうか、または各 OSS バケットにバケットポリシーが構成されているかどうかを確認します。読み取り権限または書き込み権限が付与されていない場合、またはバケットが構成されていない場合、評価結果は「準拠」になります。
シナリオ
このルールは、最小権限の原則 (PoLP) に基づいて OSS バケットに権限を付与する必要がある場合に適用されます。これにより、過剰な権限によるデータ漏洩を防ぎ、システムのセキュリティを確保します。
リスクレベル
デフォルトのリスクレベル: 高
このルールを適用する際に、ビジネス要件に基づいてリスクレベルを変更できます。
コンプライアンス評価ロジック
- 各 OSS バケットのバケットポリシーで匿名アカウントに読み取り権限と書き込み権限が付与されていない場合、評価結果は「準拠」になります。各 OSS バケットにバケットポリシーが構成されていない場合も、評価結果は「準拠」になります。
- 匿名アカウントに読み取り権限と書き込み権限が付与されている場合、評価結果は「非準拠」になります。非準拠の構成を修正する方法については、「非準拠の修正」をご参照ください。
ルールの詳細
| 項目 | 説明 |
| ルール名 | oss-bucket-policy-no-any-anonymous |
| ルール ID | oss-bucket-policy-no-any-anonymous |
| タグ | OSS、バケット、およびバケットポリシー |
| 自動修正 | サポートされていません |
| トリガータイプ | 構成の変更 |
| サポートされているリソースタイプ | OSS バケット |
| 入力パラメーター | なし |
非準拠の修正
指定したユーザーに OSS バケットの読み取り権限と書き込み権限を付与します。詳細については、「チュートリアル: バケットポリシーに基づいて部門間でデータを共有する」をご参照ください。