質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
Amazon S3

Amazon S3 (Simple Storage Service)とはアマゾン・ウェブ・サービスが提供するオンラインストレージサービスです。

AWS(Amazon Web Services)

Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

Q&A

解決済

2回答

1172閲覧

AWS S3とIAMロール間でのアクセス管理について

pen_ari

総合スコア50

Amazon S3

Amazon S3 (Simple Storage Service)とはアマゾン・ウェブ・サービスが提供するオンラインストレージサービスです。

AWS(Amazon Web Services)

Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

0グッド

0クリップ

投稿2021/06/09 01:59

AWSのS3へのアクセス権限は
・S3バケットポリシーで対象のIAMロールに対してアクセスを許可する
・IAMロール側に対して対象のS3バケットへのアクセス許可ポリシーを付与する
この両方を満たしたときのみアクセス可能であり、どちらかが満たされていなければアクセスできない
この理解であっていますか?

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

まず「S3へのアクセス」といったときにS3の何に対するアクセスかを意識する必要があります。
またS3自体にもたくさんアクセスコントロールの概念があります。
S3のアクセスコントロール全体についてもう少し理解を深めましょう。

  • バケットポリシーは必須ではなく、IAMロールやIAMユーザに権限があればアクセスが可能です。
    少し補足をすると、IAMによって制御しているのは「S3というサービスのAPIに対するアクセス」です。
  • バケットポリシーではIAMのみならず、色んなものを対象にアクセスコントロールができます。
    必ずしもIAMとのみ組み合わせるものではありません。許可だけでなく拒否もできます。

    例えばIP制限とかもできますし、AWSの別のサービスからのアクセスを許可するなんてこともできます。
バケットポリシーを使えば非常に多岐に渡るアクセスコントロールが可能です。
バケットポリシーの例
S3バケットポリシーの具体例で学ぶAWSのPolicyドキュメント
プリンシパル
Amazon S3 のアクション
Amazon S3 の条件キー

ただ、個人的にはあまりACLは使わないですね。

  • 単にリソースに対する参照を許可したいなら、S3上のオブジェクトを公開することが出来ます
  • S3上のオブジェクトの公開とはまた別に、S3で静的サイトをホスティングする設定もできます
  • S3のAPIに対するアクセス制御という意味であれば、IAMポリシーによる制御もできます
  • 一時的な公開として、Pre-Signed URLを発行して有効期限付きでダウンロード/アップロードをさせることも可能です。

【AWS S3】S3 Presigned URLの仕組みを調べてみた

S3に対するアクセスコントロールの方法については少々ややこしいですが、まとまっているところがあるので一度確認してみてください。
もちろん公式を見るほか、ここ以外にも調べると色々出てきます。
S3のアクセスコントロールまとめ
バケットポリシーとユーザーポリシー
S3のアクセス制限(バケットポリシー, IAMポリシー, ACL)

投稿2021/06/09 03:50

yu_1985

総合スコア7588

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

pen_ari

2021/06/09 06:14

回答ありがとうございます >バケットポリシーは必須ではなく、IAMロールやIAMユーザに権限があればアクセスが可能です。 少し補足をすると、IAMによって制御しているのは「S3というサービスのAPIに対するアクセス」です。 これについては以下の認識であっていますか? S3バケットポリシーで明示的に許可しない状態でも(バケットポリシーが空欄) 例えばcodebuildに付与したサービスロール側がバケットに対するputObjectやgetObject権限を有していればcodebuild内でs3にputObjectするようなコマンドは実行可能である
pen_ari

2021/06/09 06:58

ありがとうございます!参考にします
guest

0

この理解であっていますか?

他にもアクセス権を与える方法はあります。

  • S3側でパブリックアクセスを許可すれば、ロールに関係なく誰でもアクセス可能です。
  • S3でのアクセス権限は、IAMロールに対してだけでなく、AWSアカウントなど別な単位で与えることも可能です。

投稿2021/06/09 02:07

maisumakun

総合スコア146018

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問