Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
バケットポリシーの記述を誤りマネコンからS3バケットを操作できなくなりそうになった話
Search
amarelo_n24
September 09, 2025
Education
220
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
バケットポリシーの記述を誤りマネコンからS3バケットを操作できなくなりそうになった話
2025/9/10 JAWS-UG朝会 #73 登壇資料
amarelo_n24
September 09, 2025
More Decks by amarelo_n24
See All by amarelo_n24
AWS Security Agent といっしょに脅威モデリングをやってみよう
amarelo_n24
1
250
バケットポリシーの記述を誤りマネコンからS3バケットを操作できなくなりそうになり、ルートアクセス管理を有効にしたおひとり様Organizationsの話
amarelo_n24
0
46
AWS Certified Generative AI Developer - Professional Beta 不合格体験記
amarelo_n24
1
410
マルチパートアップロードをする時にS3はどのような挙動をしているのか?
amarelo_n24
0
80
ひとりAWS BuilderCards 会を開催した話_SecurityExpansion
amarelo_n24
1
100
ひとりAWS BuilderCards 会を開催した話
amarelo_n24
1
45
re:Invent初参加者が感じたre:Invent を楽しむために必要なこと
amarelo_n24
0
64
おひとり様Organizations管理者もルートアクセス管理を有効にしよう!
amarelo_n24
2
160
アウトプット再始動2025・つなげるアウトプット2026
amarelo_n24
0
91
Other Decks in Education
See All in Education
2026年度春学期 統計学 第8回(オンデマンド配信回) 演習(1)・問題に対する答案の書き方 (2026. 5. 21)
akiraasano
PRO
0
110
プログラミング言語において文字列を複数行にわたって だらだらと記載するアレ
sapi_kawahara
0
180
Human-AI Interaction - Lecture 11 - Next Generation User Interfaces (4018166FNR)
signer
PRO
0
1.1k
Center for Entrepreneurship Education | Science Tokyo (Institute of Science Tokyo)
sciencetokyo
PRO
0
120
[2026前期火5] 論理学(京都大学文学部 前期 第1回)「ハルシネーションを外部世界との対応を考えずに見分ける方法」
yatabe
0
1.2k
生成AI時代のエンジニア育成について考えてみた
akasan
0
170
Estimating Group × Time Interaction in Scale-Transformed CEFR-J Self-Assessment Scores: A Case in Study-Abroad Research
uranoken
0
130
Course Review - Lecture 13 - Next Generation User Interfaces (4018166FNR)
signer
PRO
0
2.3k
2026年度春学期 統計学 第9回 確からしさを記述する ー 確率 (2026. 5. 28)
akiraasano
PRO
0
130
参加制約理論
roadofhope
0
130
2026年度春学期 統計学 第11回 分布の「型」を考える - 確率分布モデルと正規分布 (2026. 6. 11)
akiraasano
PRO
0
110
Data Physicalisation - Lecture 9 - Next Generation User Interfaces (4018166FNR)
signer
PRO
1
1.1k
Featured
See All Featured
Prompt Engineering for Job Search
mfonobong
0
370
The Illustrated Guide to Node.js - THAT Conference 2024
reverentgeek
1
410
Building Applications with DynamoDB
mza
96
7.1k
The Cult of Friendly URLs
andyhume
79
6.9k
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
220
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
220
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
17k
My Coaching Mixtape
mlcsv
0
170
Mozcon NYC 2025: Stop Losing SEO Traffic
samtorres
1
310
How to audit for AI Accessibility on your Front & Back End
davetheseo
0
460
Documentation Writing (for coders)
carmenintech
77
5.4k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
38
2.9k
Transcript
バケットポリシーの記述を誤り、マネコンから バケットを操作できなくなりそうになった話 2025/9/10 JAWS-UG朝会 #73
自己紹介 藤田 直幸 | アマレロ@コーヒー焙煎人兼エンジニア JAWS-UG 彩の国埼玉支部 運営 X:@amarelo_n24 Facebook
https://www.facebook.com/naoyuki.fujita.37 仕事:所属企業の情シス 好きなAWSサービス:IAM、S3、CloudShell 好きなこと:コーヒー豆の焙煎
今回は、Amazon S3(以下、S3)バケットポリシーの記述で失敗したこと、 気づきがありましたので、その話をします。 話すこと:S3バケットポリシーの設定で起こったことと改善策 話さないこと:バケットポリシー以外のポリシーについて (IAMポリシー、VPCエンドポイントポリシー) なお、本資料に記載の内容は個人の見解です。 はじめに
今回の話は以下のブログを基にしています。 バケットポリシーの記述を誤りマネコンからS3バケットを操作できなくなりそうになった話 https://qiita.com/amarelo_n24/items/225456495d3a896c8004 今回の登壇の元ネタ
1.やろうとしたこと 2.バケットポリシー 3.バケットポリシー適用したら・・・ 4.解決策 5.まとめ アジェンダ
1.やろうとしたこと
VPCエンドポイント経由でEC2からS3へアクセス S3にてVPCエンドポイントを経由した アクセスのみを許可
2.バケットポリシー
特定のVPCエンドポイントを経由した場合にオブジェクトの参照と格納を許可する S3バケットポリシー { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow",
"Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ], "Condition": { "StringEquals": { "aws:sourceVpce": "vpce-xxxxxxxxx" } } }, { "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ], "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-xxxxxxxxx" } } } ] }
3.バケットポリシー適用したら・・・
バケットポリシー、編集できない!? 急にアクセス許可が無くなりました!
バケット削除もできないし・・・どうしよう😢 オブジェクトも見えなくなった…
消せないサービスにお金が嵩んでいく不安が頭をよぎる… 課金され続ける・・・(汗)
4.解決策
ルートユーザでログインして取り急ぎバケットポリシーを削除 したら、エラーは解消されました。 ※以下の記事を読んで安心できました。ありがとうございました! アクセス不能になったS3バケットのバケットポリシーを削除する方法 https://dev.classmethod.jp/articles/delete-access-denied-bucket-policy/ ルートユーザで何とかできた!
マネージドコンソールからのアクセスも、特定のVPCエンドポイントを 経由していないため拒否された! エラーが表示された理由 あくまでも指定していたのは、特定のVPC エンドポイント以外のS3操作の明示的な拒 否。 マネコンからのアクセスはこの条件に合致 してしまった。
どうしてこんなポリシーにした?
実は、適用したバケットポリシーは、Amazon Q Developerに聞いて提示され たものでした。「AWSのことを Amazon Q Developer に聞いて出てきた アウトプットだからまぁー大丈夫か」と油断してのか、内容を十分確認して いませんでした…
生成AIのアウトプットを十分確認していなかった
特定のVPCエンドポイント以外のアクセス、または特定のIAMロールにスイッチした ユーザ以外からのアクセスのみ許可するよう書き換えたら、解決!! { "Effect": "Deny", "Principal": "*", "Action": "s3:*",
"Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ], "Condition": { "StringNotLike": { "aws:userId": "XXXXXXXXXXXXXXXXXXX:*" }, "StringNotEquals": { "aws:sourceVpce": "vpce-xxxxxxxxx" } } } ] } 改善後のバケットポリシー IAMロールのID { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ], "Condition": { "StringEquals": { "aws:sourceVpce": "vpce-xxxxxxxxx" } } },
AWS CLI を使います。 aws iam get-role --role-name <ロール名>
実行結果のJSON内に表示される、 "RoleId": "XXXXXXXXXXXXXXXXXXX", がRoleId("aws:userId” に指定する値)です。 ※こちらの記事を参考にさせていただきました。ありがとうございます! S3バケットのアクセス制御でマネコンからは特定ユーザのみ、リソースからはVPCエンドポイント経由のみに限定するS3バケットポ リシーの設定方法 https://dev.classmethod.jp/articles/configure-s3-bucket-policy/ IAMロールIDの調べ方
5.まとめ
・生成AIのアウトプットを設計の参考にするのは良いけど、 十分確認しましょう! ・確認不十分な明示的な拒否を適用すると痛い目に合う。 ・バケットポリシー編集は最悪ルートユーザで何とかなるけど、 ルートユーザに頼らずポリシー設計は慎重に! ・ポリシー設計の重要さ、奥深さを再確認できて良い経験でした! まとめ
ご清聴ありがとうございました!