オブジェクトストレージへのAPIアクセス元を制限したい
オブジェクトストレージACLの機能強化に関する要望です。
現行のオブジェクトストレージは、アクセスキー単位でパーミッションを指定できるほか、バケットACLとオブジェクト単位のACLでコンテンツの公開・非公開を設定でき、細やかなアクセス制御ができるようになってきました。
一方、オブジェクトストレージへのAPIアクセスの認可の仕組みはアクセスキーだけなので、重要度の高いコンテンツを保管するバケットのアクセスキーには厳重な管理が必要となる場合も多いでしょう。
アクセスキーの漏えい対策としては短いサイクルで鍵のローテーションを行う方法もありますが、システム構成や運用ポリシによっては、運用負荷の観点からこの手法を採用しにくい場合もあります。
そこで、万が一の事故やミス等によってバケットアクセスキーが流出してしまった場合にも、漏えいしたアクセスキーを悪用しにくくするオプション機能を、追加して頂けないでしょうか。
具体的には、以下いずれかの機能があると、嬉しいです。
(1) バケットへの接続元をさくらインターネット網内に制限する機能
(2) バケットへの接続元をIP範囲指定(ホワイトリスト)で制限する機能
(3) アクセスキー毎に上記(1)ないしは(2)相当のアクセス制御ルールを指定できる機能
(4) 欲を言えば、失効済みのアクセスキーによるアクセス試行やACL違反のAPIアクセスログ(侵害ログ)をバケット内に出力する機能
UIとしては、オブジェクトストレージのコントロールパネルから、チェックボックスやフォーム入力で設定できるものを想定しています。
(オブジェクトストレージAPIないしはS3互換APIで条件指定できれば、ありがたいです。)
![](https://secure.gravatar.com/avatar/796668878aa3d495ec40fbb9ead4fe9b?size=40&default=https%3A%2F%2Fassets.uvcdn.com%2Fpkg%2Fadmin%2Ficons%2Fuser_70-6bcf9e08938533adb9bac95c3e487cb2a6d4a32f890ca6fdc82e3072e0ea0368.png)