Q&A
下記の資料1にて以下の内容解説がされています。
資料1
問題提起:「S3 バケット設定のブロックパブリックアクセスをオンにするとOAI を使ったアクセスに失敗してしまう」
要件:「S3 への直アクセスは制限したいためOAI を使いつつ、ブロックパブリックアクセスをオンにしたい」
ここで自分のブロックパブリックアクセス(バケットポリシー側)の2種類の認識については以下です。
1.新しいパブリックアクセス可能なポリシーを割り当てることができない。
2.任意のパブリックバケットポリシーに書かれた許可内容をブロックする。
上記2の「任意のパブリックバケットポリシーに書かれた許可内容をブロックする」
というニュアンスについて
バケットに設定したあらゆるバケットポリシーのALLOWは拒否されるという認識を持っていました。
しかし、この資料1では、以下のバケットポリシー内容を削除することで OAI を使ってCloudFront 経由のアクセスが可能という説明になっています。
{ "Sid": "PublicReadForGetBucketObjects", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::<S3 バケット名>/*" }
ここで気になったのが今回の重要な点「S3 への直アクセスは制限したい」
疑問点:
つまり、自分の認識は誤りでブロックパブリックアクセスというのは、「バケットポリシーに書かれたあらゆる許可を否定」ではなく
命名:PublicReadForGetBucketObjectsの"Principal": "*"設定のようなワイルドカードでの直接アクセスを拒否するが
経由するようなこちらでは
"Principal": { "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity XXX" }
許可されるという意味なのでしょうか?
もし、そうなら下記の資料2でブロックパブリックアクセス:ONにもかかわらず以下のポリシー権限をでユーザーに与えて、そのユーザーがアクセスできる内容にも納得がいきます。
{ "Sid": "statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/tutorialuser" }, "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::190821testbucket" ] }
回答1件
0
ベストアンサー
仕様について知りたいのならまずは公式ドキュメントを読みましょう。
Amazon S3 ストレージへのパブリックアクセスのブロック
Amazon S3 はバケットやオブジェクトへのアクセスのリクエストを受け取ると、バケットやバケット所有者のアカウントに適用されているパブリックアクセスブロック設定があるかどうかを確認します。リクエストがアクセスポイントを経由している場合、Amazon S3 はアクセスポイントのパブリックアクセスブロック設定も確認します。リクエストされたアクセスを禁止する既存のパブリックアクセスブロック設定がある場合、Amazon S3 はそのリクエストを拒否します。
コンソールを見るとパブリックアクセスブロックには4つほど設定できる項目があることがわかるかと思います。
それらがどういう条件でアクセスブロックをするかは上記ドキュメント内に記載があります。
多分、今回のケースではBlockPublicPolicyに引っかかったんでしょうかね。
さて、もしこれを読まずに言葉だけの意味を考えたとして
「ブロックパブリックアクセス」とは「パブリックアクセスに対するブロック」であって、
単純に考えるとそれは「すべてのアクセスをブロックする」とは意味が異なるので
「バケットポリシーに書かれたあらゆる許可を否定」
という意味にはならないでしょう。その点でまず誤解があるかと思います。
本当に言葉の意味だけ考えればプライベートなアクセスをコントロールするものではないですからね。
公開していないバケットやオブジェクトに対して権限を持っているユーザやロールがアクセスするようなものはパブリックアクセスには該当しないでしょう。
投稿2021/12/25 08:41
総合スコア7588
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2021/12/26 13:44 編集
2021/12/26 14:19 編集