Upgrade to Pro — share decks privately, control downloads, hide ads and more …

S3バケットポリシー解説

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Itou Hideki Itou Hideki
February 26, 2025
Education
0
100

 S3バケットポリシー解説

Avatar for Itou Hideki

Itou Hideki

February 26, 2025
Tweet

Other Decks in Education

See All in Education
MySmartSTEAM 2526
Avatar for cbtlibrary cbtlibrary
0
180
沖ハック~のみぞうさんとハッキングチャレンジ☆~
Avatar for Nomizo Nomizo nomizone
1
550
【洋書和訳:さよならを待つふたりのために】第1章 出会いとメタファー
Avatar for 柳沼諒平 yaginumatti
0
180
AIを使って最新研究 について調べて発表しよ う!
Avatar for MIKIO KUBO mickey_kubo
4
190
Going over the Edge
Avatar for Jono Alderson jonoalderson
0
300
滑空スポーツ講習会2025(実技講習)EMFT学科講習資料/JSA EMFT 2025
Avatar for JSA seminar jsaseminar
0
180
HCI Research Methods - Lecture 7 - Human-Computer Interaction (1023841ANR)
Avatar for Beat Signer signer
PRO
0
1.3k
JavaScript - Lecture 6 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.1k
アジャイルの知見から新卒研修作り、そして組織作り
Avatar for pokotyamu pokotyamu
0
140
NUTMEG紹介スライド
Avatar for Mugicha mugiiicha
0
810
2025年度伊藤正彦ゼミ紹介
Avatar for imash imash
0
160
【ZEPホスト用メタバース校舎操作ガイド】
Avatar for aini school小中等部 ainischool
0
160

Featured

See All Featured
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
Avatar for Sara Fernández Carmona sarafernandez
0
110
A better future with KSS
Avatar for Kyle Neath kneath
240
18k
Neural Spatial Audio Processing for Sound Field Analysis and Control
Avatar for NII S. Koyama's Lab skoyamalab
0
150
Conquering PDFs: document understanding beyond plain text
Avatar for Ines Montani inesmontani
PRO
4
2.3k
Technical Leadership for Architectural Decision Making
Avatar for Kenny Baas-Schwegler baasie
1
220
The untapped power of vector embeddings
Avatar for Frank van Dijk frankvandijk
1
1.5k
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
49
3.3k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
55
12k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
133
19k
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
269
13k
Paper Plane (Part 1)
Avatar for Katie Cordina Lindsey katiecoart
PRO
0
3.4k
Lightning talk: Run Django tests with GitHub Actions
Avatar for Sarah Abderemane sabderemane
0
100

Transcript

  1. S3バケットポリシーの解説 JAWS-UG 磐田 伊藤 秀樹

  2. 本日の発表者 ◼ 伊藤 秀樹(いとう ひでき) ◼ 輸送機器メーカーのIT子会社に勤務 ◼ 入社以来、メールやファイル共有などIAサーバ系の ITインフラの設計構築・サーバ運用を担当

    最近は、CCoE立ち上げでクラウドアーキテクト担当 ◼ JAWS-UG 磐田を設立し、コアメンバーの一人として活動中 掛川城 2

  3. Agenda ・S3バケットで実施したい権限管理 ・S3バケットポリシーの考え方 ・S3バケットポリシーの設定例

  4. ・S3バケットで実施したい権限管理 ・公開コンテンツの保管(静的Webサイト) ・各種文書などの保管 ・ALBやVPC、アプリケーションなどのログ保管 etc. データ保護や情報漏洩対策など、 実施したいけど・・・

  5. 実現したい事は・・・ 出典:https://qiita.com/c60evaporator/items/da47620d69f84a9be7dc ファイルの保護は、バケットポリシーで実施する必要があります。

  6. ・バケットポリシーの考え方 S3のバケットポリシーは、JSON形式で記述するアクセス制御ルールです。 バケット単位で適用され、誰がどの操作をできるかを決定します。 { "Version": "2012-10-17", "Statement": [ { "Effect":

    "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::example-bucket/*" } ] } 1. バケットポリシーの基本構造 バケットポリシーは、以下のようなJSON形式で記述します。

  7. IAMポリシーとの違い

  8. 複数条件の組み合わせ① 以下ような条件のポリシーを実現したい ・一般操作の接続は、VPC Endpointのみ ・データ管理者の接続は、接続元IPアドレスかIAMロールが一致している場合 VPC Endpoint 一般操作 データ管理者 接続元

    IPアドレス IAM ロール OR OR

  9. バケットポリシー条件にしてみる VPC Endpoint 一般操作 データ管理者 接続元 IPアドレス IAM ロール OR

    VPC Endpoint 接続元 IPアドレス IAM ロール AND OR AND

  10. ・バケットポリシーの設定例

  11. 設定例:バケットポリシー { "Version": "2012-10-17", "Statement": [ { "Sid": "IPAllow", "Effect":

    "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::s3-demo-123456789012/*", "Condition": { "StringNotLike": { "aws:userId": "AROA2UC3CHRLHRD5XCES5:*" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.1/32" }, "StringNotEquals": { "aws:SourceVpce": "vpce-0d55dd32cf374b969" } } } ] } #許可するロールのロールID #許可するグローバルIPアドレス #許可するS3エンドポイント

  12. 複数条件の組み合わせ② 以下ような条件のポリシーを実現したい ・一般操作の接続は、VPC Endpointのみ ・データ管理者の接続は、接続元IPアドレスかつIAMロールが一致している場合 VPC Endpoint 一般操作 データ管理者 接続元

    IPアドレス IAM ロール AND OR

  13. VPC Endpoint バケットポリシー条件にしてみる VPC Endpoint 一般操作 データ管理者 接続元 IPアドレス IAM

    ロール AND VPC Endpoint 接続元 IPアドレス IAM ロール OR OR AND AND

  14. { "Version": "2012-10-17", "Statement": [ { "Sid": "IPAllow", "Effect": "Deny",

    "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::s3-demo2-123456789012/*", "Condition": { "NotIpAddress": { "aws:SourceIp": " 203.0.113.1/32" }, "StringNotEquals": { "aws:SourceVpce": "vpce-0d55dd32cf374b969" } } }, { "Sid": "RoleAllow", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::s3-demo2-123456789012/*", "Condition": { "StringNotLike": { "aws:userId": "AROA2UC3CHRLHRD5XCES5:*" }, "StringNotEquals": { "aws:SourceVpce": "vpce-0d55dd32cf374b969" } } } ] } 設定例:バケットポリシー #許可するロールのロールID #許可するグローバルIPアドレス #許可するS3エンドポイント #許可するS3エンドポイント

  15. もし、アクセスポイントを併用すると・・・

  16. まとめ:S3バケットポリシーとは?

  17. ご清聴ありがとうございました