share facebook facebook twitter menu hatena pocket slack

2011.07.19 TUE

AWSのIAMユーザーの権限で一部のS3のバケットだけリストを不可能にする

櫛田 草平

WRITTEN BY 櫛田 草平

S3のバケットは、コンソール上でリードオンリーにする権限に設定することができますが、リードオンリーの場合、bucketのファイルがすべて見えてしまいます。
不要なbucketの中身を見せたくない場合には、指定したbucketをリストもできない権限を設定にしてみました。

元々のS3readonly

{
 "Statement": [
  {
   "Action": [
    "s3:List*",
    "s3:Get*"
   ],
   "Effect": "Allow",
   "Resource": "*"
  }
 ]
}

特定のbucket(hoge.buket.name)だけを見れないように指定したIAMユーザーのS3権限にDenyを指定するとhoge.buket.nameを選択しても中身が見れないようになります。
Denyの指定は、後から設定することが可能です。

{
 "Statement": [
  {
   "Action": [
    "s3:List*",
    "s3:Get*"
   ],
   "Effect": "Allow",
   "Resource": "*"
  },
  {
   "Action": [
    "s3:List*"
   ],
   "Effect": "Deny",
   "Resource": "arn:aws:s3:::hoge.buket.name"
  }
 ]
}

色々な組み合わせを設定することができるので、また何かのニーズがあったら様々なパターン試してみようと思います。

こちらの記事はなかの人(kenjionsoku)監修のもと掲載しています。
元記事は、こちら

櫛田 草平

櫛田 草平

cloudpackで運用、保守、構築、夜間対応を担当しており、日々様々な課題に対応していますのでこの経験を記事にしていけたらと思います。 櫛田 草平

cloudpack

cloudpackは、Amazon EC2やAmazon S3をはじめとするAWSの各種プロダクトを利用する際の、導入・設計から運用保守を含んだフルマネージドのサービスを提供し、バックアップや24時間365日の監視/障害対応、技術的な問い合わせに対するサポートなどを行っております。
AWS上のインフラ構築およびAWSを活用したシステム開発など、案件のご相談はcloudpack.jpよりご連絡ください。