ユーザ用ツール

サイト用ツール


aws:s3:access

Amazon S3アクセス管理(バケットポリシー, AMIポリシー, ACL, パブリックアクセス設定)

アクセス許可の確認方法

S3バケット一覧のページから、アクセスの概要を確認できます。

アクセス 説明
オブジェクトは公開可能 パブリックアクセス設定を無効にしています。
バケットとオブジェクトは非公開 パブリックアクセス設定を有効にしています。
公開 パブリックアクセス設定を無効にしています。
ACLでバケット公開しています。


AWS S3の制御方法

  • バケットポリシー(バケット単位でアクセス制御)
  • IAMポリシー(ユーザーごとにアクセス制御)
  • ACL(主にオブジェクト単位で制御する時に利用)
  • パブリックアクセス設定(公開防止)

ACLよりもバケットポリシーの方が強くなります。
バケットポリシーで設定されていない場合は、ACLによって制御されています。


バケットポリシー(バケット単位でアクセス制御)

  • バケット毎に、アクセス権限を設定
    • 設定例:このバケットは、全ユーザにリードを許可
    • 設定例:Cloud Frontが読み取れるようにする

設定方法

  1. [アクセス権限] の [バケットポリシー]を選択
  2. 「バケットポリシーエディター」に記載します。

特定のIPアドレスからの制限

54.240.143.0/24 の範囲の IP アドレスは許可して、54.240.143.188 からのアクセスは拒否

{
  "Version": "2012-10-17",
  "Id": "S3PolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::examplebucket/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
         "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} 
      } 
    } 
  ]
}


{
  "Version": "2012-10-17",
  "Id": "S3PolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::examplebucket/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": [
                        "54.240.143.0/24",
                        "192.1680.143.0/24"
                        ]
                      },
         "NotIpAddress": {"aws:SourceIp": [
                          "54.240.143.188/32",
                        "192.1680.143.10/24"
                        ]
                      } 
      } 
    } 
  ]
}


IAMポリシー(ユーザーごとにアクセス制御)

  • IAMユーザに対して、S3やバケットへのアクセス権限を設定
    • 設定例:Aユーザは、バケットAに対して、全ての操作を許可

IAMの詳細は、AWS IAMで、ユーザ管理

設定例

バケットへのアクセスを IAM ユーザーに許可するIAMポリシー
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action": "s3:ListAllMyBuckets",
         "Resource":"arn:aws:s3:::*"
      },
      {
         "Effect":"Allow",
         "Action":["s3:ListBucket","s3:GetBucketLocation"],
         "Resource":"arn:aws:s3:::awsexamplebucket1"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetObject",
            "s3:GetObjectAcl",
            "s3:DeleteObject"
         ],
         "Resource":"arn:aws:s3:::awsexamplebucket1/*"
      }
   ]
}


ACL(主にオブジェクト単位で制御する時に利用)

  • 各バケットおよびオブジェクトのアクセス権限を指定(バケットACLとオブジェクトACL)
  • ACLよりも、ユーザポリシーやバケットポリシーが優先される。
  • ACLは、バケットやオブジェクトに対して、100個まで指定可能

バケット単位のACLの設定に関係なくオブジェクト単位のACLが優先されます。

設定方法

  1. [アクセス権限] の [アクセスコントロールリスト]を選択
  2. AWSアカウントをの行をクリックすると、[アクセスコントロールリスト]の設定ができます。
    オブジェクトへのアクセス
      ON/OFF オブジェクトの一覧
      ON/OFF オブジェクトの書き込み
    
    このバケットの ACL へのアクセス
      ON/OFF バケットのアクセス権限の読み取り
      ON/OFF バケットのアクセス権限の書き込み
    


パブリックアクセス設定(公開防止)

パブリックからのアクセスを拒否したい場合に設定します。
以下の4つをON/OFFにできます。

新しいアクセスコントロールリスト (ACL) を介して許可されたバケットとオブジェクトへのパブリックアクセスをブロックする

ACLの新規作成、設定変更でパブリックアクセス可能な設定にしない

任意のアクセスコントロールリスト (ACL) を介して許可されたバケットとオブジェクトへのパブリックアクセスをブロックする

ACLで、パブリックアクセスをすべてブロックする

新しいパブリックバケットポリシーを介して許可されたバケットとオブジェクトへのパブリックアクセスをブロックする

バケットポリシーの新規作成、設定変更でパブリックアクセス可能な設定にしない

任意のパブリックバケットポリシーを介して、バケットとオブジェクトへのパブリックアクセスとクロスアカウントアクセスをブロックする

パブリックバケットポリシーで、パブリックアクセスをすべてブロックする



参考:S3のブロックパブリックアクセス設定について分かりやすく説明する - 非凡な才能をください。


参考

aws/s3/access.txt · 最終更新: 2020/10/01 01:10 by kurihara

ページ用ツール