フォーム読み込み中
Alibaba Cloud OSS「パブリックアクセスのブロック機能」アップデートについて
クラウドエンジニア
前田 祐希
Alibaba Cloudのプロダクトに関するテクニカルサポート業務に従事。
2025年7月3日掲載
いつもご覧いただきありがとうございます。クラウドエンジニアの前田です。
今回は、2025年4月の Weekly Alibaba Cloud アップデート情報 - 2025/4/4 の「ストレージ」項目で紹介した「パブリックアクセスのブロック機能アップデート」について、掘り下げて紹介したいと思います。
今回のアップデートについて
Alibaba Cloud Object Storage Service(OSS)において、「パブリックアクセスのブロック機能」がCLI環境でAPI・SDK・OSSUtilなどを用いたバケット作成時にデフォルトで有効化されるようになりました。「パブリックアクセスブロック機能」とは、バケットが意図せずパブリック(匿名ユーザ)に公開されることを防止するセキュリティ機能です。
本アップデートは2025年10月以降に適用される予定で、OSSのセキュリティ強化を目的とした重要なアップデートです。
Alibaba Cloud Object Storage Service (OSS) とは
Alibaba Cloud Object Storage Service(OSS)は、高い耐久性、可用性、スケーラビリティを兼ね備えた、セキュアでコスト効率の良いクラウドストレージサービスです。OSSを使用することで、どのような種類のデータでも、いつでも、どこからでも安全に保存、取得、管理することができます。
OSSでできること:
- 静的ウェブサイトホスティング: HTML、CSS、JavaScriptなどの静的コンテンツをOSSに配置し、ウェブサイトとして公開できます。
- バックアップとアーカイブ: データベースのバックアップ、ログファイル、メディアコンテンツなどを安全に保存し、必要に応じてアーカイブすることができます。
- ビッグデータ分析: 大量のデータをOSSに保存し、Alibaba Cloudの他のビッグデータサービス(MaxCompute、DataWorksなど)と連携して分析を行うことができます。
- コンテンツ配信: 画像、動画、オーディオファイルなどのメディアコンテンツをOSSに保存し、CDNと組み合わせて高速かつ安定した配信を実現できます。
- データ共有とコラボレーション: チームや組織間でデータを共有し、共同作業を行うためのプラットフォームとして活用できます。
OSSでは、バケット単位でアクセス制御(ACL)を設定でき、柔軟な公開・非公開などのデータ管理が可能です。
パブリックアクセスのブロック機能の詳細
現状、CLI環境でのAPI、SDK、OSSUtillを用いたOSSのバケット作成時、「パブリックアクセスのブロック機能」は有効化されていません。
しかし、ACLはデフォルトで「非公開(private)」設定であるため、バケット所有者のみがバケット内のオブジェクトにデータを書き込むことができ、他のユーザはバケット内のオブジェクトにアクセスできないため、結果としてブロックされた状態になっています。
今回のアップデートにより、API、SDK、またはOSSUtillを用いたバケット作成時にデフォルトで「パブリックアクセスのブロック機能」が有効となり、下位の制御手段を遮断することができるので意図せずにバケットポリシーやACLで公開設定をしてしまうという設定ミスを防ぐことができ、より安全な環境でOSSを利用できるようになります。
参考)アクセス制御手段
| 機能名 | 説明 | 反映の優先順位 | 主な用途 |
|---|---|---|---|
| パブリックアクセスブロック | ACLやポリシーにかかわらず、強制的にパブリックアクセスを遮断する最上位の設定 | 高 | セキュリティ強化目的の完全遮断 |
| バケットポリシー | より柔軟な条件(IP制限・ユーザー制限など)を定義できる JSON ポリシー | 中 | 高度なアクセス条件の定義 |
| ACL (Access Control List) | オブジェクトまたはバケット単位で、"public-read" などの権限を付与できる設定 | 低 | 単純な読み書き制御 |
一方、GUIのコンソールにてバケットを作成する際は、すでにデフォルトで「パブリックアクセスのブロック機能」が有効化されています。
◆パブリックアクセスブロック機能の仕組み
「パブリックアクセスブロック機能」は、以下の2つの制御メカニズムによって機能します。
・ACL(Access Control List)の強制的な非公開設定
「パブリックアクセスブロック機能」を有効にすると、バケットのACL設定は強制的に「非公開(private)」に設定されます。これにより、意図しないパブリックな読み書きアクセスを防ぎます。
・バケットポリシーの編集不可
バケットポリシーは、バケットへのアクセス権限を詳細に設定するための強力な機能ですが、パブリックアクセスブロック機能が有効になっている場合、バケットポリシーによるパブリックアクセスを許可する設定はできなくなります。これにより、誤ったポリシー設定によるセキュリティリスクを低減します。
◆ユーザーメリット
・デフォルトでのセキュリティ強化
API、SDK、またはOSSUtilを使用してバケットを作成する際に、手動でセキュリティ設定を行う手間を省き、最初からセキュアな状態でバケットを作成できます。
・誤設定によるデータ漏洩リスクの低減
意図しないパブリックアクセスを自動的にブロックすることで、設定ミスによるデータの公開や漏洩のリスクを大幅に削減します。
・コンプライアンス要件への対応
厳格なセキュリティ要件が求められる業界や規制において、デフォルトで高いセキュリティレベルを維持できるため、コンプライアンスへの対応が容易になります。
・運用負荷の軽減
セキュリティ設定の確認や修正にかかる運用負荷を軽減し、より本質的な業務に集中できます。
◆補足内容
・既存のACL設定への影響
既存のACL設定を「非公開」以外の「公開読み取り」「公開読み取り/書き込み」にしている状態でパブリックアクセスのブロック機能を有効化すると、ACLは強制的に「非公開」になります。
・パブリックアクセスのブロック機能を「無効化」後のACLの再設定
パブリックアクセスブロック機能を無効化しても、ACLは元の設定には戻りません。この場合、手動でACLの公開について再設定する必要があります。この点については、特に注意が必要です。
◆使い分けイメージ
設定による適用時の使い分けイメージはこのような形となります。
| シナリオ | 推奨設定 |
|---|---|
| 一部のファイルだけ公開したい | ACL or ポリシー(細かい調整) |
| 特定のIPからのみアクセス許可 | バケットポリシーでIPベース制御 |
| 意図せずパブリックに公開設定されるのを防ぎたい | パブリックアクセスブロックを ON にする |
まとめ
今回のAlibaba Cloud OSSにおけるCLI環境でのAPIやSDK、OSSUtillなどを用いた「パブリックアクセスのブロック機能」のデフォルトでの「有効化」は、OSSユーザーの皆様にとって非常に重要なアップデートです。
これにより、バケット作成時からセキュリティが強化され、意図しないデータ公開のリスクを大幅に低減できます。特に、大量のバケットをAPI経由で作成するようなケースでは、デフォルトでのセキュリティ設定が大きなメリットとなります。
既存のバケット設定への影響や、機能無効化後のACLの再設定が必要になる点には留意しつつ、この新機能を最大限に活用し、より安全で効率的なクラウドストレージ運用を実現しましょう。
さいごに、ソフトバンクではAlibaba Cloudのアップデート情報を「Weekly Alibaba Cloud」として毎週公開していますので、興味を持たれた方はぜひご覧ください。
参考ドキュメント
関連サービス
Alibaba Cloudは中国国内でのクラウド利用はもちろん、日本-中国間のネットワークの不安定さの解消、中国サイバーセキュリティ法への対策など、中国進出に際する課題を解消できるパブリッククラウドサービスです。
MSP(Managed Service Provider)サービスは、クラウド導入から運用・保守・監視・活用方法までをソフトバンクのエンジニアがトータルサポートします。お客さまの運用負荷を軽減し、クラウド利用を促進します。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
