Upgrade to Pro — share decks privately, control downloads, hide ads and more …

バケットポリシーの記述を誤りマネコンからS3バケットを操作できなくなりそうになり、ルートアクセ...

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for amarelo_n24 amarelo_n24
April 10, 2026
Education
36
0

 バケットポリシーの記述を誤りマネコンからS3バケットを操作できなくなりそうになり、ルートアクセス管理を有効にしたおひとり様Organizationsの話

2026/4/10 AWS Community Builders Night #3 登壇資料

Avatar for amarelo_n24

amarelo_n24

April 10, 2026

More Decks by amarelo_n24

See All by amarelo_n24
AWS Certified Generative AI Developer - Professional Beta 不合格体験記
Avatar for amarelo_n24 amarelo_n24
1
300
マルチパートアップロードをする時にS3はどのような挙動をしているのか?
Avatar for amarelo_n24 amarelo_n24
0
73
ひとりAWS BuilderCards 会を開催した話_SecurityExpansion
Avatar for amarelo_n24 amarelo_n24
1
85
ひとりAWS BuilderCards 会を開催した話
Avatar for amarelo_n24 amarelo_n24
1
40
re:Invent初参加者が感じたre:Invent を楽しむために必要なこと
Avatar for amarelo_n24 amarelo_n24
0
58
おひとり様Organizations管理者もルートアクセス管理を有効にしよう!
Avatar for amarelo_n24 amarelo_n24
2
150
アウトプット再始動2025・つなげるアウトプット2026
Avatar for amarelo_n24 amarelo_n24
0
79
AWS re_Invent に全力で参加したくて筋トレを頑張っている話
Avatar for amarelo_n24 amarelo_n24
2
150
バケットポリシーの記述を誤りマネコンからS3バケットを操作できなくなりそうになった話
Avatar for amarelo_n24 amarelo_n24
1
220

Other Decks in Education

See All in Education
Catecismo 26 #2 - Do Credo; Introdução ao 1º artigo
Avatar for Congregação Mariana da Imaculada Conceição e Santo Afonso de Ligório cm_manaus
0
110
プログラミング言語において文字列を複数行にわたって だらだらと記載するアレ
Avatar for sapi_kawahara sapi_kawahara
0
150
2026年度春学期 統計学 第1回 イントロダクション ー 統計的なものの見方・考え方について (2026. 4. 9)
Avatar for Akira Asano akiraasano
PRO
0
140
SARA Annual Report 2025-26
Avatar for SARA Institute sara2023
1
350
生成AI時代のエンジニア育成について考えてみた
Avatar for Daisuke Akagawa (Akasan) akasan
0
130
「機械学習と因果推論」入門 ⑤ 因果効果推定の一般化
Avatar for MasaKat0 masakat0
0
100
Data Physicalisation - Lecture 9 - Next Generation User Interfaces (4018166FNR)
Avatar for Beat Signer signer
PRO
1
1k
Virtual and Augmented Reality - Lecture 8 - Next Generation User Interfaces (4018166FNR)
Avatar for Beat Signer signer
PRO
0
2.3k
2026年度春学期 統計学 第6回 データの関係を知る(1)ー 相関関係 (2026. 5. 14)
Avatar for Akira Asano akiraasano
PRO
0
110
2026年度春学期 統計学 第4回 データを「分布」で見る (2026. 4. 30)
Avatar for Akira Asano akiraasano
PRO
0
130
We部コミュニティスライド2026-04-24
Avatar for junhat6 junhat6
0
170
Lectura 1 (PIT : Python Basico)
Avatar for Abraham Zamudio robintux
0
340

Featured

See All Featured
Heart Work Chapter 1 - Part 1
Avatar for Lake Fama lfama
PRO
7
36k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
27k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
46
2.8k
Visual Storytelling: How to be a Superhuman Communicator
Avatar for David Neal reverentgeek
2
550
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
Avatar for r-kagaya rkaga
61
44k
Claude Code のすすめ
Avatar for schroneko schroneko
67
220k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
128
17k
How to Talk to Developers About Accessibility
Avatar for Jason CranfordTeague jct
2
220
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
225
10k
Designing for Performance
Avatar for Lara Hogan lara
611
70k
Code Review Best Practice
Avatar for Trisha Gee trishagee
74
20k
Technical Leadership for Architectural Decision Making
Avatar for Kenny Baas-Schwegler baasie
3
390

Transcript

  1. バケットポリシーの記述を誤りマネコンからバケットを 操作できなくなりそうになり、ルートアクセス管理を 有効にしたおひとり様Organizationsの話 2026/4/10 AWS Community Builders Night #3

  2. 自己紹介 藤田 直幸 X:@amarelo_n24  ・AWS Community Builders(Security)  ・JAWS-UG 彩の国埼玉支部 運営  ・コーヒー焙煎人兼エンジニア

    ・おひとり様BuilderCards Player 好きなAWSサービス:IAM、S3、Organizations 好きなこと:コーヒー豆の焙煎

  3. 今回の話は去年9月と11月に登壇した内容のダイジェストです。 Community Builders 応募の際にこの話についてアピールしましたので、 今日はこの話をします!! ▪バケットポリシーの記述を誤りマネコンからS3バケットを操作できなくなりそうになった話 https://qiita.com/amarelo_n24/items/225456495d3a896c8004 ▪おひとり様Organizations管理者もルートアクセス管理を有効にしよう! https://qiita.com/amarelo_n24/items/3e2356e5fb215f128cb3 はじめに:今回の登壇について

  4. ▪話すこと ・Amazon S3(以下、S3)バケットポリシーの記述を誤り、バケットの操作  がすべてできなくなった際の復旧と原因について ・ルートアクセス管理を有効にした話 ▪話さないこと ・詳細な手順 ※本資料に記載の内容は、個人利用の範囲で試した結果です。  個人の見解であり、所属組織を代表するものではありません。 はじめに:今回の登壇について

  5. 1.バケットポリシー適用したらバケット操作できなくなった!? 2.復旧方法と原因 3.ルートアクセス管理を有効に 4.最後に アジェンダ

  6. 1.バケットポリシー適用したらバケット操作できなくなった!?

  7. VPCエンドポイント経由でEC2からS3へアクセス S3にてVPCエンドポイントを経由した アクセスのみを許可

  8. 特定のVPCエンドポイントを経由した場合にオブジェクトの参照と格納を許可する 適用したS3バケットポリシー { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow",

    "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ], "Condition": { "StringEquals": { "aws:sourceVpce": "vpce-xxxxxxxxx" } } }, { "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ], "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-xxxxxxxxx" } } } ] }

  9. バケットポリシー取得アクセスできない!?

  10. オブジェクトも見えずバケット削除も不可…

  11. 2.原因と復旧方法

  12. マネージドコンソールからのアクセスも、特定のVPCエンドポイントを 経由していないため拒否された! エラーが表示された原因 あくまでも指定していたのは、特定のVPC エンドポイント以外のS3操作の明示的な拒 否。 マネコンからのアクセスはこの条件に合致 してしまった。

  13. Amazon Q Developerにポリシーを書いてもらいましたが、「AWSのことを Amazon Q Developer に聞いて出てきたアウトプットだからまぁー大丈夫か」と 油断して、内容を十分確認していませんでした… こんなポリシーにした原因

  14. { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*",

    "Action": [ "s3:GetObject", "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ], "Condition": { "StringEquals": { "aws:sourceVpce": "vpce-xxxxxxxxx" } } }, ・ルートユーザでログイン後にバケットポリシーを削除。 ・バケットポリシーを編集。 { "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ], "Condition": { "StringNotLike": { "aws:userId": "XXXXXXXXXXXXXXXXXXX:*" }, "StringNotEquals": { "aws:sourceVpce": "vpce-xxxxxxxxx" } } } ] } 復旧方法 以下のいずれかに合致しないアクセ スを拒否 ・特定のVPCエンドポイント経由 ・特定のIAMロール

  15. ・バケットポリシーで明示的拒否を適用する場合は、慎重に確認してから  適用しないと痛い目に合う。特に本番環境。  ※IAMポリシー・Organizations SCPも同様 ・ポリシーを生成AIに作らせても過信してはいけない。 ・私がAmazon Q Developer に送ったプロンプトが悪かった可能性もある。  上手に生成AIを使ってセキュリティ対策できるようにならねば!

    ここまでの学び

  16. 3.ルートアクセス管理を有効に

  17. AWS Organizations 管理アカウントからバケットポリシーを削除することができ る「ルートアクセス管理」を知りました。リリースされたのは2024年11月。アップ デートに追従できていないことを痛感!! バケットポリシー記述ミスから程なくして

  18. AWS Organizations 所属のメンバーアカウントの ・ルートユーザーの認証情報削除・追加を一元管理 ・バケットポリシーの削除 ・Amazon SQSのキューポリシーの削除 をすることができます。 https://aws.amazon.com/jp/about-aws/whats-new/2024/11/manage-root-access-aws-identity-access-manag ement/

    ルートアクセス管理とは

  19. 管理アカウントのIAMの画面から「ルートアクセス管理」を開き、 「有効化」ボタンを押します。 ※OrganizationsではなくIAMの画面なのでお間違いなく! ルートアクセス管理の有効化!

  20. ルートアクセス管理を有効 ・ルート認証情報管理  ルートユーザーの認証情報削除・登録を許可 ・メンバーアカウントでの特権ルートアクション  バケットポリシーとSQSキューポリシーの削除を許可 「有効化」クリック後、「ルートアクセス管理 が有効になっています」と表示されたら設定 完了

  21. メンバーアカウントのルートユーザー認証情報削除

  22. ルートユーザログインせずバケットポリシー削除可能に

  23. ルートユーザの認証情報管理負荷が減った バケットポリシーを間違えてもヨシ!(違う)

  24. ・ルートアクセス管理を有効にすれば、マルチアカウント運用における  ルートユーザー認証情報管理から解放される。  ※ただし、管理アカウントのルートユーザー認証情報は対象外 ・IAM Identity Center も有効にすれば、IAMユーザーの管理負荷も  軽減することができる! ・アップデート情報を日々追った結果をアウトプットすることが大事! ・新機能を知れば、より効果的なセキュリティ対策の可能性が広がる!

    ここまでの学び

  25. 4.最後に

  26. ルートユーザーでバケットポリシー削除できること、ルートアクセス管理が あることを知ることができたのは、私より先にアウトプットしていた方々が いたからこそです。 自分だけの力ではCommunity Builders 選出されなかったので、感謝して もしきれません🙇 私も誰かの役に立てて後押しになるアウトプットをできるように、 Community Builder

    活動に力を入れていきたいと思います!! 最後に

  27. 彩の国埼玉支部宣伝!Save the Date!! 2026/5/30(土) 1周年! 2026/7/5 (日) JAWS-UG 北陸新幹線 大宮開催!!

    https://jawsug-sainokuni-saitama.connpass.com/event/387763/

  28. ご清聴ありがとうございました!