Upgrade to Pro — share decks privately, control downloads, hide ads and more …

S3バケットポリシー解説

Itou Hideki
February 26, 2025
Education
0
12

 S3バケットポリシー解説

Itou Hideki

February 26, 2025
Tweet

Other Decks in Education

See All in Education
Ch4_-_Cours_2.pdf
bernhardsvt
0
170
OnShapeの紹介-概要編
shiba_8ro
0
100
付箋を使ったカラオケでワイワイしましょう / Scrum Fest Okinawa 2024
bonbon0605
0
140
Carving the Way to Ruby Engineering
koic
3
800
Human Perception and Colour Theory - Lecture 2 - Information Visualisation (4019538FNR)
signer
PRO
0
2.3k
Unraveling JavaScript Prototypes
debug_mode
0
150
Why Did Douglass Change His Mind?
oripsolob
0
430
Adobe Express
matleenalaakso
1
7.7k
お仕事図鑑pitchトーク
tetsuyaooooo
0
2.3k
Sanapilvet opetuksessa
matleenalaakso
0
31k
Introduction - Lecture 1 - Information Visualisation (4019538FNR)
signer
PRO
0
4.3k
Flinga
matleenalaakso
2
14k

Featured

See All Featured
Adopting Sorbet at Scale
ufuk
74
9.2k
BBQ
matthewcrist
87
9.5k
Speed Design
sergeychernyshev
27
800
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
7
640
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
114
50k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Become a Pro
speakerdeck
PRO
26
5.1k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.4k
Side Projects
sachag
452
42k
A Tale of Four Properties
chriscoyier
158
23k
Why Our Code Smells
bkeepers
PRO
336
57k
Raft: Consensus for Rubyists
vanstee
137
6.8k

Transcript

  1. S3バケットポリシーの解説 JAWS-UG 磐田 伊藤 秀樹

  2. 本日の発表者 ◼ 伊藤 秀樹(いとう ひでき) ◼ 輸送機器メーカーのIT子会社に勤務 ◼ 入社以来、メールやファイル共有などIAサーバ系の ITインフラの設計構築・サーバ運用を担当

    最近は、CCoE立ち上げでクラウドアーキテクト担当 ◼ JAWS-UG 磐田を設立し、コアメンバーの一人として活動中 掛川城 2

  3. Agenda ・S3バケットで実施したい権限管理 ・S3バケットポリシーの考え方 ・S3バケットポリシーの設定例

  4. ・S3バケットで実施したい権限管理 ・公開コンテンツの保管(静的Webサイト) ・各種文書などの保管 ・ALBやVPC、アプリケーションなどのログ保管 etc. データ保護や情報漏洩対策など、 実施したいけど・・・

  5. 実現したい事は・・・ 出典:https://qiita.com/c60evaporator/items/da47620d69f84a9be7dc ファイルの保護は、バケットポリシーで実施する必要があります。

  6. ・バケットポリシーの考え方 S3のバケットポリシーは、JSON形式で記述するアクセス制御ルールです。 バケット単位で適用され、誰がどの操作をできるかを決定します。 { "Version": "2012-10-17", "Statement": [ { "Effect":

    "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::example-bucket/*" } ] } 1. バケットポリシーの基本構造 バケットポリシーは、以下のようなJSON形式で記述します。

  7. IAMポリシーとの違い

  8. 複数条件の組み合わせ① 以下ような条件のポリシーを実現したい ・一般操作の接続は、VPC Endpointのみ ・データ管理者の接続は、接続元IPアドレスかIAMロールが一致している場合 VPC Endpoint 一般操作 データ管理者 接続元

    IPアドレス IAM ロール OR OR

  9. バケットポリシー条件にしてみる VPC Endpoint 一般操作 データ管理者 接続元 IPアドレス IAM ロール OR

    VPC Endpoint 接続元 IPアドレス IAM ロール AND OR AND

  10. ・バケットポリシーの設定例

  11. 設定例:バケットポリシー { "Version": "2012-10-17", "Statement": [ { "Sid": "IPAllow", "Effect":

    "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::s3-demo-123456789012/*", "Condition": { "StringNotLike": { "aws:userId": "AROA2UC3CHRLHRD5XCES5:*" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.1/32" }, "StringNotEquals": { "aws:SourceVpce": "vpce-0d55dd32cf374b969" } } } ] } #許可するロールのロールID #許可するグローバルIPアドレス #許可するS3エンドポイント

  12. 複数条件の組み合わせ② 以下ような条件のポリシーを実現したい ・一般操作の接続は、VPC Endpointのみ ・データ管理者の接続は、接続元IPアドレスかつIAMロールが一致している場合 VPC Endpoint 一般操作 データ管理者 接続元

    IPアドレス IAM ロール AND OR

  13. VPC Endpoint バケットポリシー条件にしてみる VPC Endpoint 一般操作 データ管理者 接続元 IPアドレス IAM

    ロール AND VPC Endpoint 接続元 IPアドレス IAM ロール OR OR AND AND

  14. { "Version": "2012-10-17", "Statement": [ { "Sid": "IPAllow", "Effect": "Deny",

    "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::s3-demo2-123456789012/*", "Condition": { "NotIpAddress": { "aws:SourceIp": " 203.0.113.1/32" }, "StringNotEquals": { "aws:SourceVpce": "vpce-0d55dd32cf374b969" } } }, { "Sid": "RoleAllow", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::s3-demo2-123456789012/*", "Condition": { "StringNotLike": { "aws:userId": "AROA2UC3CHRLHRD5XCES5:*" }, "StringNotEquals": { "aws:SourceVpce": "vpce-0d55dd32cf374b969" } } } ] } 設定例:バケットポリシー #許可するロールのロールID #許可するグローバルIPアドレス #許可するS3エンドポイント #許可するS3エンドポイント

  15. もし、アクセスポイントを併用すると・・・

  16. まとめ:S3バケットポリシーとは?

  17. ご清聴ありがとうございました