AWS: Amazon Quick — deny-by-defaultとALLOW/DENYルールによるS3ナレッジベースのドキュメントレベルのアクセス制御

AWSは2026年5月15日にAmazon Quick S3ナレッジベースのドキュメントレベルのアクセス制御に関する詳細な実装を公開しました。この発表はエンタープライズRAGの最大の問題の1つに対処しています。異なるユーザーがアクセス権限に基づいて異なるナレッジベースの回答を受け取れるようにする方法です。ナレッジベースを複数の異なるインデックスに分割することなく実現します。

グローバルACLとドキュメントレベルのメタデータアプローチの違いは何ですか？

AWSは2つの設定方法を提供しています。

• グローバルACLファイル — ナレッジベース全体のフォルダレベルの権限を指定する集中型JSONドキュメントです。アクセスルールが概ね一定の安定した組織構造（例：「HRフォルダはHRグループからアクセス可能」）に最適です。ルールの変更には1回の更新が必要です。
• ドキュメントレベルのメタデータファイル — 各ドキュメントの隣に配置される個別の.metadata.jsonファイルです。アクセスリストがプロジェクトごとに変わるプロジェクトドキュメントなど、頻繁に変更される権限に最適です。ルールの変更には特定のメタデータファイルの更新が必要です。

ユーザーは同じナレッジベース内で両方のアプローチを組み合わせることができます。ベースラインにはグローバルACL、例外にはドキュメントレベルのオーバーライドを使用します。

deny-by-defaultモデルはどのように機能しますか？

システムはdeny-by-defaultの動作を使用することで、偶発的な公開を防ぎます。ユーザーを承認する明示的なALLOWルールがある場合を除き、ドキュメントはブロックされます。このアプローチは、ドキュメントがデフォルトで開かれていて特定のものがブロックされる楽観的なモデルよりも安全です。

システムはユーザーとグループのレベルでALLOWとDENYのポリシーをサポートしています。競合がある場合（例：ユーザーが所属するグループにはALLOWがあるが、ユーザーレベルのDENYが存在する場合）、DENYが常に優先されます。これにより、管理者は権限スキーム全体を再構成することなく、承認されたグループ内の特定のユーザーをブロックするきめ細かな制御が可能になります。

IAM統合は何を追加しますか？

ドキュメントレベルのACLに加えて、AWSのドキュメントはユーザーがナレッジベース作成に使用できるS3バケットを制限するためのIAMポリシーの割り当ての使用についても説明しています。このアプローチにより、ACL制御の不正バイパスを防ぎます。IAMゲートがなければ、ユーザーはアクセス権限のないバケット上に独自のナレッジベースを作成し、ドキュメントACLルールを回避できてしまいます。

AWSが推奨する検証方法は何ですか？

アクセス制御が機能することを確認する2つの方法があります。

• チャットベースのテスト — 異なるIDを持つユーザーが保護されたドキュメントを必要とする質問をし、レスポンスにブロックされたコンテンツが含まれていないかを確認します
• フロー対応の自動化 — 最終的な取得時だけでなく、各フェーズでドキュメントレベルのアクセス権限を遵守する自動化されたワークフロー

より広範なエンタープライズRAGセキュリティスタックにおける位置づけ

この発表はAWSの今週の毎日のエンタープライズRAGセキュリティ発表の一部です。AWS+Cisco MCP/A2A AIレジストリ（5月14日、エージェントスキャン）、AWS EU AI ActのFLOPsメーター（5月13日、コンプライアンス）、AWS Pulse AI金融ドキュメント（5月14日、ドメイン固有）。Amazon Quick ACLは読み取り側の問題を管理します。どのユーザーがRAGレスポンスでどのコンテンツを見るかです。これは生成側の問題（AIが処理できるトピック）を管理するBedrock Guardrailsを補完するものです。