Q&A
> principalTag を使う?ような英語の記事を見かけて、
その記事のリンクを質問文に追記してもらうと、回答がつきやすいと思います。
s3 を使って画像を保存しています。
s3 は companies/{companyID}/users/{userID}/... という階層で管理しています。
Cognito による認証を利用しており、ログインユーザーは全員、custom:company_id というカスタム属性を持っています。
ここで、ユーザーに付与されているカスタム属性 company_id と同じ階層以下のデータのみアクセスを許可したい場合、どのようにバケットポリシーを書けば良いでしょうか。
(例: company_id=testCompany をもつユーザーのみ companies/testCompany/... のデータにアクセスできる)
principalTag を使う?ような英語の記事を見かけて、下記のように書いてみましたが、うまくいきませんでした。どなたがアドバイスいただけますと幸いです。
json
1{ 2 "Version": "2012-10-17", 3 "Statement": [ 4 { 5 "Effect": "Allow", 6 "Principal": "*", 7 "Action": "s3:getobject", 8 "Resource": 9 "arn:aws:s3:::app/companies/${aws:PrincipalTag/company_id}/*" 10 ] 11 } 12 ] 13}
回答1件
0
参照されているのは、例えば、以下のような例でしょうか。
json
1 2 { 3 "Version": "2012-10-17", 4 "Statement": [ 5 { 6 "Effect": "Allow", 7 "Action": "s3:List*", 8 "Resource": "arn:aws:s3:::*-${aws:PrincipalTag/department}" 9 }, 10 { 11 "Effect": "Allow", 12 "Action": "s3:GetObject*", 13 "Resource": "arn:aws:s3:::*-${aws:PrincipalTag/department}/*", 14 "Condition": { 15 "StringEquals": { 16 "s3:ExistingObjectTag/clearance": "${aws:PrincipalTag/clearance}" 17 } 18 } 19 } 20 ] 21}
質問の例(arn:aws:s3:::app)だと、許可対象がappというS3 Bucket名に限定されてしまうと思いますが、もしappが対象Bucket名の"一部"であるならば、上記の例のように前方にもワイルドカード(*)を指定して範囲を広げる必要がないでしょうか?
投稿2022/12/26 11:01
編集2022/12/26 11:03
総合スコア178
あなたの回答
tips
プレビュー
