0
0
テーマ、知りたいこと
同一アカウント内でEC2からS3へアクセスする方法としては
①EC2に対して「S3アクセス許可ポリシーを設定したIAMロール」を適用する
もしくは
②S3のバケットポリシーでEC2からのアクセス許可を行う
この2種類があると思いますが、一般的にはどちらのほうが使い勝手が良いのでしょうか?
異なるアカウントなら①②両方とも許可しないといけないので迷うことはないと思うのですが
同一アカウントの場合はどっちを使うべきか迷ったのでご存知の方教えて下さい。
背景、状況
テーマや知りたいことについて、なぜ聞きたいかの背景やどういった状況かを書いてください。
詳しく記入することで、良い回答が得られやすくなります。
回答3件
#1
総合スコア7447
投稿2024/03/17 08:16
使い勝手というより、目的によって使い分けるものです。
この場合の「アクセス」というのが何を想定しているのかにもよりますが。
基本的にはAWSの別リソースからアクセスする場合(今回で言うと特定のEC2インスタンス)、そちら側にIAMによって許可のポリシーを与えてアクセスできるようにすることがほとんどかと思います。
これをバケットポリシーで行おうとした場合、例えばEC2インスタンスのARNを直接指定してアクセス許可を与えようとした場合、EC2インスタンスをTerminateして作り直す旅にARNが変わってしまい、都度バケットポリシーを変更しなければならないので面倒です。
タグを使うなどの方法もありますが、IAMロールによって権限を与えられるサービスであればそれよりはロール側に権限を与えて制御するほうが簡単です。
このあたりのことは以下記事が詳しいです。
S3 のオブジェクトACLの無効化が推奨となったので、改めて IAM ポリシーと S3 バケットポリシーの評価論理をまとめてみた
異なるアカウントなら①②両方とも許可しないといけない
いいえ、AssumeRoleの設定によりIAMのみで実現可能で、クロスアカウントであるからといってバケットポリシーが必要か否かは関係がありません。
#3
総合スコア7447
投稿2024/03/24 17:53
AssumeRoleを使わない場合は①②両方とも許可という認識で間違っていないですよね?
ここでいうアクセスがS3のAPIを用いたアクセスなのか否かで大きく話が変わってきます。
S3のAPIを使用したいのであれば、S3のAPIを使用する権限がEC2側にないとそもそもEC2側でAPIを呼び出せないので相手側がどう設定していようと関係がないですね。
参考記事にもバケットポリシーでのアクセス許可とIAMによるアクセス許可どっちが何に向いているのかが書いてありますが、EC2からのアクセスは基本的にIAMのみで制限することをお勧めします。
なお同一アカウントだとバケットポリシーの設定はそもそも不要で、IAMポリシーのみで制御できます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。