バケットポリシーの記述を誤りマネコンからS3バケットを操作できなくなりそうになった話

Transcript

1. バケットポリシーの記述を誤り、マネコンから 
 バケットを操作できなくなりそうになった話 
 2025/9/10
 JAWS-UG朝会 #73


2. 自己紹介
 藤田 直幸 | アマレロ@コーヒー焙煎人兼エンジニア
 JAWS-UG 彩の国埼玉支部 運営
 X：@amarelo_n24
 Facebook

   https://www.facebook.com/naoyuki.fujita.37
 
 仕事：所属企業の情シス
 好きなAWSサービス：IAM、S3、CloudShell
 好きなこと：コーヒー豆の焙煎


3. 今回は、Amazon S3（以下、S3）バケットポリシーの記述で失敗したこと、
 気づきがありましたので、その話をします。
 
 話すこと：S3バケットポリシーの設定で起こったことと改善策
 話さないこと：バケットポリシー以外のポリシーについて
 　　　　　　　（IAMポリシー、VPCエンドポイントポリシー）
 
 なお、本資料に記載の内容は個人の見解です。
 はじめに


4. 今回の話は以下のブログを基にしています。
 
 バケットポリシーの記述を誤りマネコンからS3バケットを操作できなくなりそうになった話
 https://qiita.com/amarelo_n24/items/225456495d3a896c8004
 
 
 今回の登壇の元ネタ


5. １．やろうとしたこと
 ２．バケットポリシー
 ３．バケットポリシー適用したら・・・
 ４．解決策
 ５．まとめ
 アジェンダ


6. １．やろうとしたこと


7. VPCエンドポイント経由でEC2からS3へアクセス
 S3にてVPCエンドポイントを経由した アクセスのみを許可


8. ２．バケットポリシー


9. 特定のVPCエンドポイントを経由した場合にオブジェクトの参照と格納を許可する
 S3バケットポリシー
 {
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",


   "Principal": "*",
 "Action": [
 "s3:GetObject",
 "s3:ListBucket",
 "s3:PutObject"
 ],
 "Resource": [
 "arn:aws:s3:::bucket-name",
 "arn:aws:s3:::bucket-name/*"
 ],
 "Condition": {
 "StringEquals": {
 "aws:sourceVpce": "vpce-xxxxxxxxx"
 }
 }
 },
 {
 "Effect": "Deny",
 "Principal": "*",
 "Action": "s3:*",
 "Resource": [
 "arn:aws:s3:::bucket-name",
 "arn:aws:s3:::bucket-name/*"
 ],
 "Condition": {
 "StringNotEquals": {
 "aws:sourceVpce": "vpce-xxxxxxxxx"
 }
 }
 }
 ]
 }


10. ３．バケットポリシー適用したら・・・


11. バケットポリシー、編集できない！？
 急にアクセス許可が無くなりました！


12. バケット削除もできないし・・・どうしよう😢
 オブジェクトも見えなくなった…


13. 消せないサービスにお金が嵩んでいく不安が頭をよぎる…
 課金され続ける・・・（汗）


14. ４．解決策


15. ルートユーザでログインして取り急ぎバケットポリシーを削除
 したら、エラーは解消されました。
 
 ※以下の記事を読んで安心できました。ありがとうございました！
 
 アクセス不能になったS3バケットのバケットポリシーを削除する方法
 https://dev.classmethod.jp/articles/delete-access-denied-bucket-policy/
 
 ルートユーザで何とかできた！


16. マネージドコンソールからのアクセスも、特定のVPCエンドポイントを 
 経由していないため拒否された！ 
 エラーが表示された理由
 あくまでも指定していたのは、特定のVPC エンドポイント以外のS3操作の明示的な拒 否。
 マネコンからのアクセスはこの条件に合致 してしまった。


17. どうしてこんなポリシーにした？


18. 実は、適用したバケットポリシーは、Amazon Q Developerに聞いて提示され
 たものでした。「AWSのことを Amazon Q Developer に聞いて出てきた
 アウトプットだからまぁー大丈夫か」と油断してのか、内容を十分確認して
 いませんでした…


    生成AIのアウトプットを十分確認していなかった


19. 特定のVPCエンドポイント以外のアクセス、または特定のIAMロールにスイッチした ユーザ以外からのアクセスのみ許可するよう書き換えたら、解決！！
 
 {
 "Effect": "Deny",
 "Principal": "*",
 "Action": "s3:*",


    "Resource": [
 "arn:aws:s3:::bucket-name",
 "arn:aws:s3:::bucket-name/*"
 ],
 "Condition": {
 "StringNotLike": {
 "aws:userId": "XXXXXXXXXXXXXXXXXXX:*"
 },
 "StringNotEquals": {
 "aws:sourceVpce": "vpce-xxxxxxxxx"
 }
 }
 }
 ]
 }
 改善後のバケットポリシー
 
 IAMロールのID
 {
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",
 "Principal": "*",
 "Action": [
 "s3:GetObject",
 "s3:ListBucket",
 "s3:PutObject"
 ],
 "Resource": [
 "arn:aws:s3:::bucket-name",
 "arn:aws:s3:::bucket-name/*"
 ],
 "Condition": {
 "StringEquals": {
 "aws:sourceVpce": "vpce-xxxxxxxxx"
 }
 }
 },


20. AWS CLI を使います。
 
 aws iam get-role --role-name <ロール名>
 


    実行結果のJSON内に表示される、
 
 "RoleId": "XXXXXXXXXXXXXXXXXXX",
 
 がRoleId（"aws:userId” に指定する値）です。
 
 ※こちらの記事を参考にさせていただきました。ありがとうございます！
 
 S3バケットのアクセス制御でマネコンからは特定ユーザのみ、リソースからはVPCエンドポイント経由のみに限定するS3バケットポ リシーの設定方法
 https://dev.classmethod.jp/articles/configure-s3-bucket-policy/ 
 
 IAMロールIDの調べ方


21. ５．まとめ


22. ・生成AIのアウトプットを設計の参考にするのは良いけど、
 　十分確認しましょう！
 ・確認不十分な明示的な拒否を適用すると痛い目に合う。
 ・バケットポリシー編集は最悪ルートユーザで何とかなるけど、
 　ルートユーザに頼らずポリシー設計は慎重に！
 ・ポリシー設計の重要さ、奥深さを再確認できて良い経験でした！
 まとめ


23. ご清聴ありがとうございました！