Q&A
困ってること
特定のグループに、あるS3バケットの全てのactionを許可するポリシーをつけたが、ファイル名変更ができない。
やりたいこと
特定のIAMグループに所属するユーザーに対して、特定のバケットでの全ての操作を許可したい。
やったこと
特定のグループに、特定のS3バケットの全てのactionを許可するポリシーをつけた(が、ファイル名の変更ができなかった)
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "s3:*", "Resource": [ "arn:aws:s3:::hoge_bucket", "arn:aws:s3:::hoge_bucket/*" ] } ] }
が、全てのバケットの全actionを許可すると、ファイル名の変更できるようになる
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "s3:*", "Resource": [ "arn:aws:s3:::*" ] } ] }
警告内容としては、
このポリシーはアクセス許可を提供しないいくつかのアクション、リソース、条件が定義されています。アクセス権限を付与するには、ポリシーに該当するリソースまたは条件を持つアクションがある必要があります。詳細については、 残りの表示 詳細はこちら を選択します。
と表示され、ビジュアルエディタで以下のような警告が表示されます。
(このような警告は 全てのバケットの全actionを許可 でも表示されます。)
何かヒントをいただけたらありがたいです。何卒よろしくお願い致します。
回答2件
0
AWS S3 リソース
を確認しましたが、「arn:aws:s3:::*」ですべての S3 バケットとオブジェクトを指定できると記載はありました。
また、AWS S3 アクションにアクセス許可をしなければいけないものが記載されています。
ユーザーが AWS マネジメントコンソール を使用してバケットやそれらのいずれかのバケット内容を表示する場合、s3:ListAllMyBuckets および s3:GetBucketLocation アクセス許可が必要です。
お役に立てば幸いです。
投稿2020/10/19 04:56
編集2020/10/19 05:00
総合スコア128
0
ファイル名変更には s3:ListAllMyBuckets 権限も必要なようです。
これは「全てのバケット一覧を取得する」権限なので、対象(Resource)を「全てのバケット」にする必要があります。
以下のような設定でどうでしょうか。
json
1{ 2 "Version": "2012-10-17", 3 "Statement": [ 4 { 5 "Effect": "Allow", 6 "Action": "s3:*", 7 "Resource": [ 8 "arn:aws:s3:::hoge_bucket", 9 "arn:aws:s3:::hoge_bucket/*" 10 ] 11 }, 12 { 13 "Effect": "Allow", 14 "Action": "s3:ListAllMyBuckets", 15 "Resource": "arn:aws:s3:::*" 16 } 17 ] 18}
投稿2021/05/14 14:53
総合スコア653
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/10/24 07:01